Wordpress-Update beseitigt Schwachstelle

In der Wordpress-Version 2.6.5 haben die Entwickler eine Cross-Site-Scripting-Schwachstelle (XSS) und drei nicht sicherheitsrelevante Fehler beseitigt.

25

26.11.2008, 10:39 Uhr

Lesezeit: 1 Min.

Security

Von

Daniel Bachfeld

In der Wordpress-Version 2.6.5 haben die Entwickler eine Cross-Site-Scripting-Schwachstelle (XSS) und drei nicht sicherheitsrelevante Fehler beseitigt. Die XSS-Lücke lässt sich laut Bericht jedoch nur auf IP-basierten virtuellen Servern mit Apache 2.x ausnutzen. In der Regel sind aber Installationen bei Web-Hostern namensbasiert, sodass vermutlich nur wenige Anwender betroffen sind.

Die XSS-Lücke steckt in wp-includes/feed.php. Beim Erzeugen von RSS-Feeds kann unter bestimmten Umständen JavaScript hineingelangen und beim Öffnen im Browser eines Opfer starten. Die Versionsnummer 2.6.4 haben die Entwickler übersprungen, um Verwechslungen mit einer gefälschten Version 2.6.4 zu vermeiden, die von Betrügern in Umlauf gebracht wurde.

Die deutsche Wordpress-Version 2.6.5 steht ebenfalls schon zum Download bereit.

Siehe dazu auch:

WordPress 2.6.5, Beschreibung des Update
WordPress XSS vulnerability in RSS Feed Generator, Fehlerbeschreibung von Jeremias Reith
WordPress im heise Software-Verzeichnis

(dab)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Wordpress-Update beseitigt Schwachstelle

Spiele

6 Monate mit 50 % RabattVolles Wissen, halber Preis: 6 Monate mit 50 % Rabatt

Das digitale Abo für IT und Technik.