WordPress 4.9.7: Neue Version fixt alte Sicherheitslücke und mehrere Bugs
Die neue WordPress-Version behebt unter anderem ein Sicherheitsproblem, das schon seit mehreren Monaten bestand.
![WordPress 4.9.7: Neue Version fixt Sicherheitslücke und mehrere Bugs](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/2/4/5/9/1/1/5/wordpress-552924_1280-e2e48eb96ea94126.jpeg)
(Bild: A. Gounder)
WordPress-Versionen bis einschließlich 4.9.6 wiesen eine Lücke auf, die Angreifern "mit gewissen Fähigkeiten" das willkürliche Löschen von Dateien außerhalb des Medienverzeichnisses ermöglicht. So steht es im Blogeintrag der WordPress-Entwickler zur neuen, abgesicherten Version 4.9.7.
Es handelt es sich um die von Analysesoftware-Hersteller RIPS Technologies entdeckte Lücke, über die heisec vergangene Woche ausführlich berichtete. Ihre Ausnutzung erfordert das WP-Log-In (mindestens) mit Autorenrechten, um anschließend mittels eines Skripts Dateipfade in der WP-Datenbank überschreiben und letztlich beliebige Dateien löschen zu können.
RIPS Technologies informierte WordPress nach eigenen Angaben bereits im November 2017 über das Sicherheitsproblem. Codeauszüge im Wordfence-Blog zeigen,wie sich das WordPress-Entwicklerteam dieses Problems (endlich) angenommen hat: Vor jeder Dateilöschung werden nun zusätzliche Sicherheitschecks durchgeführt, um Manipulationen zu löschender Pfade beziehungsweise Dateien zu verhindern (function wp_delete_file_from_directory).
Außer der genannten Lücke haben die WP-Entwickler noch 17 weitere Programmierfehler behoben; Details sind dem Blogeintrag zu entnehmen. Anwender sollten also zeitnah reagieren und Version 4.9.7 herunterladen.
(ovw)