WordPress 4.9.2 schmeißt Flash raus – für die Sicherheit
In WordPress klafft eine nicht als kritisch geltende Lücke, die Angreifer aus der Ferne ausnutzen könnten. Eine abgesicherte Version steht bereit.
Das Content-Management-System (CMS) WordPress ist verwundbar. Die Entwickler haben in der aktuellen Ausgabe 4.9.2 eine Sicherheitslücke geschlossen – alle vorigen Ausgaben bis 3.7 sollen bedroht sein. Updates geschehen in der Regel automatisch. Ansonsten kann man eine Aktualisierung aus dem Dashboard anstoßen.
Es handelt sich um eine XSS-Lücke im Flash-Fallback der MediaElement-Bibliothek, die standardmäßig mit an Bord ist. Die Bibliothek kümmert sich um die Audio- und Videowiedergabe via DASH oder HLS-Stream. Unterstützt das ein Browser nicht, findet ein Fallback auf Flash statt. Nun ist Flash raus geflogen und die Lücke ist geschlossen. Wer die Fallbacklösung noch unbedingt benötigt, kann diese auf eigenes Risiko nachinstallieren.
Anfällige WordPress-Versionen könnten Angreifer aus der Ferne ohne Authentifizierung attackieren. Das CERT Bund vom BSI stuft das von der Schwachstelle ausgehende Risiko mit "mittel" ein.
Neben der Lücke kümmern sich die Entwickler noch um 21 Bugs. (des)