WordPress Version 4.7.2 schließt mehrere Sicherheitslücken
Ende Januar hat WordPress mit der Version 4.7.2 ein Sicherheitsupdate veröffentlicht.
Dieses sollte ursprünglich drei wichtige Sicherheitslücken der vorherigen Versionen beheben.
Folgende Bugs wurden durch das Update zunächst gefixt:
- Das Userinterface für die Zuweisung von Taxonomien wird beim Lesezeichen – Tool „Press This“ auch Usern angezeigt, die dafür keine Berechtigung besitzen.
- Eine Lücke bei der Funktion WP_Query ermöglicht eine SQL-Injection bei der ungeschützten Datenübertragung. Dadurch ist zwar nicht der Kern von WordPress betroffen, aber um Sicherheitslücken über Themes und Plugins zu vermeiden, wurden entsprechende Maßnahmen getroffen.
- In der post list table wurde eine Cross-Site Scriptung (XSS) Lücke entdeckt.
WordPress selbst empfahl bereits letzte Woche ein zeitnahes Update.
Seit kürzlich bekannt wurde, dass noch eine vierte, aber deutlich schwerwiegendere Lücke mit der neuen Version geschlossen wurde, erscheint das Update deutlich dringender als zuvor.
Das Sicherheitsleck befindet sich in dem WordPress REST API, welches in der Version 4.7 eingeführt wurde. Dieses ermöglichte es, Inhalte auf Webseiten anderer User zu posten.
WordPress selbst hatte die Korrektur dieses Fehlers zunächst eher verschwiegen und kündigte bei der Veröffentlichung der neuen Version die Behebung kleiner Lücken an.