Security-Release: Wordpress 5.8.3 schließt Lücken

Vier Sicherheitslücken sind in den WordPress-Versionen zwischen 3.7 und 5.8 entdeckt worden. Das Security-Release 5.8.3 schließt sie. Anwender, die noch nicht auf Version 5.8 aktualisiert haben, finden aktualisierte Versionen auch ab der Ausgabe 3.7. Bis dahin reicht die Fehleranfälligkeit zurück.

Über die Sicherheitslücken kann ein entfernter, anonymer oder authentisierter Angreifer Dateien manipulieren, Sicherheitsmaßnahmen umgehen und einen Cross-Site-Scripting-Angriff durchführen, warnt das BSI über seinen Cert-Service. Eine der Lücken steckt in WP_Query und ermöglicht eine SQL-Injektion durch Plugins oder Themes, die es auf eine bestimmte Weise verwenden, heißt es im Advisory. Ein weitere erlaubt es authentifizierten Benutzern mit wenig Privilegien – wie etwa einem Autor – im WordPress-Core JavaScript und XSS-Angriffe auszuführen, die dann auch Nutzer mit hohen Privilegien betreffen. Zu den Bugs mit authentisierten Angreifern zählt auch, dass es in einer Multisite-Umgebung Nutzern mit Super-Admin-Rechten möglich ist, explizite Schutzmaßnahmen zu umgehen.

In der Ankündigung des Sicherheits-Release sind die Advisorys zu den Schwachstellen verlinkt.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben