Wordpress-Update beseitigt Schwachstelle
In der Wordpress-Version 2.6.5 haben die Entwickler eine Cross-Site-Scripting-Schwachstelle (XSS) und drei nicht sicherheitsrelevante Fehler beseitigt.
- Daniel Bachfeld
In der Wordpress-Version 2.6.5 haben die Entwickler eine Cross-Site-Scripting-Schwachstelle (XSS) und drei nicht sicherheitsrelevante Fehler beseitigt. Die XSS-Lücke lässt sich laut Bericht jedoch nur auf IP-basierten virtuellen Servern mit Apache 2.x ausnutzen. In der Regel sind aber Installationen bei Web-Hostern namensbasiert, sodass vermutlich nur wenige Anwender betroffen sind.
Die XSS-Lücke steckt in wp-includes/feed.php. Beim Erzeugen von RSS-Feeds kann unter bestimmten Umständen JavaScript hineingelangen und beim Öffnen im Browser eines Opfer starten. Die Versionsnummer 2.6.4 haben die Entwickler übersprungen, um Verwechslungen mit einer gefälschten Version 2.6.4 zu vermeiden, die von Betrügern in Umlauf gebracht wurde.
Die deutsche Wordpress-Version 2.6.5 steht ebenfalls schon zum Download bereit.
Siehe dazu auch:
- WordPress 2.6.5, Beschreibung des Update
- WordPress XSS vulnerability in RSS Feed Generator, Fehlerbeschreibung von Jeremias Reith
- WordPress im heise Software-Verzeichnis
(dab)