WordPress gab die Veröffentlichung einer Wartungs- und Sicherheitsversion bekannt, die mehrere Schwachstellen behebt, darunter eine, die zu einer vollständigen Übernahme der Website führen könnte.
Wartungs- und Sicherheitsversion WordPress 6.3.2
WordPress 6.3.2 liefert 41 Fehlerbehebungen, aber was noch wichtiger ist, es enthält Patches für acht Schwachstellen.
Die folgenden acht Schwachstellen wurden kürzlich entdeckt und behoben:
- Eine Schwachstelle im WordPress-Kern, die die Ausführung willkürlicher Shortcodes ermöglicht
- Mögliche Offenlegung von Benutzer-E-Mail-Adressen durch nicht authentifizierte Hacker
- Sicherheitslücke in POP-Ketten zur Remotecodeausführung
- Cross-Site-Scripting (XSS)-Schwachstelle im Post-Link-Navigationsblock
- Durchgesickerte Sichtbarkeit von Kommentaren zu privaten Beiträgen
- Reflektierte Cross-Site-Scripting (XSS)-Schwachstelle im Anwendungskennwortbildschirm
- Cross-Site-Scripting (XSS)-Schwachstelle im Fußnotenblock
- Cache-Poisoning-Denial-of-Service-Schwachstelle (DoS).
Einige der Schwachstellen sind auf eine unzureichende Eingabebereinigung zurückzuführen, was bedeutet, dass übermittelte Daten bösartige Eingaben nicht herausfiltern.
Die offizielle WordPress-Entwicklerseite zur Eingabebereinigung informiert:
„Nicht vertrauenswürdige Daten stammen aus vielen Quellen (Benutzer, Websites Dritter, sogar Ihre eigene Datenbank!) und alle müssen vor ihrer Verwendung überprüft werden.
Beim Bereinigen von Eingaben werden Eingabedaten gesichert, bereinigt und gefiltert.
Die Validierung wird der Sanierung vorgezogen, da die Validierung spezifischer ist.
Aber wenn „genauer“ nicht möglich ist, ist Desinfektion die nächstbeste Lösung.“
Alle Schwachstellen werden als mittlerer Schweregrad eingestuft, einschließlich Patches für fünf Probleme mittlerer Schwere.
In einem von Wordfence veröffentlichten Hinweis zur aktuellen Sicherheitsversion wird darauf hingewiesen, dass mindestens eine der Schwachstellen das Potenzial für eine vollständige Übernahme der Website enthielt.
WordPress empfiehlt allen Benutzern, zu überprüfen, ob ihre WordPress-Installationen auf die neueste Version, WordPress-Version 6.3.2, aktualisiert sind.
Laut der offiziellen WordPress-Ankündigung:
„Da es sich um eine Sicherheitsversion handelt, wird empfohlen, dass Sie Ihre Websites sofort aktualisieren.
Backports sind auch für andere große WordPress-Versionen, 4.1 und höher, verfügbar.“
Lesen Sie die offizielle Ankündigung zur WordPress-Sicherheitsveröffentlichung:
WordPress 6.3.2 – Wartungs- und Sicherheitsversion
Ausgewähltes Bild von Shutterstock/Light_Lenser