WordPress 3.6.1 schließt drei Sicherheitslücken
Kommentare

Im jüngst vorgestellten Bugfix-Release WordPress 3.6.1 werden neben 17 Bugs gleich drei Sicherheitslücken geschlossen. Darunter befindet sich unter anderem die Möglichkeit der Remote Code Execution,

Im jüngst vorgestellten Bugfix-Release WordPress 3.6.1 werden neben 17 Bugs gleich drei Sicherheitslücken geschlossen. Darunter befindet sich unter anderem die Möglichkeit der Remote Code Execution, des Identitätsdiebstahls bei den Autoren sowie des Cross Site Scriptings durch nicht-validierte User-Eingaben. In der Update-Meldung heißt es dazu wörtlich:

  • Block unsafe PHP unserialization that could occur in limited situations and setups, which can lead to remote code execution. Reported by Tom Van Goethem.
  • Prevent a user with an Author role, using a specially crafted request, from being able to create a post “written by” another user. Reported by Anakorn Kyavatanakij.
  • Fix insufficient input validation that could result in redirecting or leading a user to another website. Reported by Dave Cummo, a Northrup Grumman subcontractor for the U.S. Centers for Disease Control and Prevention.

Ingesamt habe man die Datei-Upload-Routine in WordPress etwas strikter gestaltet, um künftigen XSS-Attacken vorzubeugen. Bisher ließ man Uploads von .exe– oder .swf-Dateien standardmäßig zu, was oft als Angriffsvektor ausgenutzt wurde.

Die weiteren Bugfixes, die in den vergangenen sechs Wochen in WordPress 3.6 vorgenommen wurden, könnt Ihr dem Issue Tracker entnehmen. Zu einem Update wird aufgrund der gravierenden Sicherheitsmängel dringend geraten, da diese zum Teil alle vorherigen WordPress-Installationen betreffen.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -