zurück zum Artikel

Die Hersteller des CMS WordPress empfehlen, das Update auf WordPress 4.6.1 schnellstmöglich einzuspielen, da es zwei gefährliche Sicherheitslücken schließt. Installationen mit Auto-Update haben die neue Version automatisch in den vorigen Tagen bekommen.

Im populären CMS WordPress stecken zwei kritische Sicherheitslücken, die ein Update auf Version 4.6.1 stopft, warnt der Hersteller in seinem Blog [1]. Das Update sollte daher jeder Webseiten-Betreiber einspielen, der WordPress 4.6 oder älter nutzt und das Auto-Update deaktiviert [2] hat. Auch Nutzer von gehostetem WordPress oder mit aktiviertem Auto-Update sollten zur Sicherheit kontrollieren, ob 4.6.1 installiert ist. Das Update behebt zudem 15 weitere Fehler.

Die erste Lücke erlaubt Site-Benutzern das Ausführen von bösartigem JavaScript, indem sie ein Bild mit manipuliertem Dateinamen hochladen; diese XSS-Lücke hat SumOfPwn-Mitglied Cengiz Han Sahin entdeckt. Die zweite hat der WordPress-Mitarbeiter Dominik Schilling gefunden, sie betrifft den Upload-Mechanismus. (jow [3])

URL dieses Artikels:
https://www.heise.de/-3317796

Links in diesem Artikel:
[1] https://wordpress.org/news/2016/09/wordpress-4-6-1-security-and-maintenance-release/
[2] https://codex.wordpress.org/Configuring_Automatic_Background_Updates
[3] mailto:jow@ct.de

Copyright © 2016 Heise Medien