Gerade habe ich vom Wordfence-Sicherheitsteam eine Meldung bekommen, dass man eine in WordPress bestehende Sicherheitslücke öffentlich gemacht hat. Das WordPress-Core-Team hat darauf hin am 21. Juni 2016 eine Aktualisierung des WordPress Core auf Version 4.5.3 bereitgestellt.
Anzeige
Die Details zur Sicherheitslücke finden sich im Wordfence-Blog-Beitrag Vulnerability in WordPress Core: Bypass any password protected post. CVSS Score: 7.5 (High). Die Sicherheitslücke betrifft Posts, die durch ein Passwort geschützt sind. Damit erhalten nur Nutzer, die ein Kennwort besitzen, Zugriff auf diesen Blog-Beitrag.
Von Wordfence wurde am 3. Mai 2016 eine Sicherheitslücke an das WordPress Core-Team gemeldet. Die Sicherheitslücke ermöglicht Nutzern den Kennwortschutz von WordPress auszuhebeln und Zugriff auf kennwortgeschützte Webseiten zu erlangen. Dies ermöglicht Angreifern Attacken, wenn die Benutzerregistrierung freigeschaltet ist (hier im Blog wird das nicht verwendet).
Wordfence stuft die Sicherheitslücke als hoch (Score 7,5) ein – und das WordPress Core-Team hat bereits gestern Abend das Maintenance Release für WordPress Version 4.5.3 freigegeben. Dieses fixt nicht nur die Sicherheitslücke, sondern behebt auch 17 Fehler der Versionen 4.5, 4.5.1 und 4.5.2. Dummerweise steht bisher noch keine deutsche Übersetzung dieser WordPress-Version zur Verfügung. Hier hat sich WordPress 4.5.2 die Nacht wohl selbständig auf 4.5.3 aktualisiert. In einem zweiten Blog musste ich das Upgrade manuell anstoßen, lief aber auch problemlos durch. Wer das WordPress Premium Plug-in einsetzt, ist seit dem 3. Mai 2016 vor solchen Attacken geschützt.
2015
Kleiner Vertipper: Es wurde 4.5.3 freigegeben, nicht 4.5.2