WordPress erhält wichtiges Sicherheitsupdate auf Version 5.0.1 – Ältere Versionen sind auch betroffen
Das Entwicklungsteam von WordPress hat in der Nacht ein wichtiges Sicherheitsupdate für alle Versionen ab einschließlich WordPress 3.7 veröffentlicht. Es rät dringend dazu, das Sicherheits-Update zeitnah zu installieren. WordPress 5.0 und älter sind von insgesamt 7 Sicherheitslücken betroffen, die nun behoben wurden. Aktualisierte Versionen von älteren Releases sind ebenfalls verfügbar, niemand muss also auf WordPress 5.0 aktualisieren. Weitere Details gibt es hier. WordPress hatte letzte Woche die Version 5.0 veröffentlicht. Damit erhielt WordPress einen neuen Editor namens Gutenberg mit vielen Änderungen gegenüber dem klassischen Editor.
Du kannst WordPress 5.0.1 herunterladen oder über das Dashboard aktualisieren, klicke dafür im Adminbereich links auf Dashboard → Aktualisierungen → Jetzt aktualisieren. Websites, auf denen die automatischen Updates aktiviert wurden, erhalten das Update automatisch. Weitere Informationen zu diesem Update finden sich weiter unten oder im WordPress Blog.
Was ist neu in WordPress 5.0.1?
Die Version 5.0.1 enthält die folgenden Neuerungen und Verbesserungen:
WordPress Versionen 5.0 und früher sind von den folgenden Fehlern betroffen, die in Version 5.0.1 behoben wurden. Aktualisierte Versionen von WordPress 4.9 und älteren Versionen sind auch für Benutzer verfügbar, die noch nicht auf 5.0 aktualisiert haben:
- Karim El Ouerghemmi discovered that authors could alter meta data to delete files that they weren’t authorized to.
- Simon Scannell discovered that authors could create posts of unauthorized post types with specially crafted input.
- Sam Thomas discovered that contributors could craft meta data in a way that resulted in PHP object injection.
- Tim Coen discovered that contributors could edit new comments from higher-privileged users, potentially leading to a cross-site scripting vulnerability.
- Tim Coen also discovered that specially crafted URL inputs could lead to a cross-site scripting vulnerability in some circumstances. WordPress itself was not affected, but plugins could be in some situations.
- Team Yoast discovered that the user activation screen could be indexed by search engines in some uncommon configurations, leading to exposure of email addresses, and in some rare cases, default generated passwords.
- Tim Coen and Slavco discovered that authors on Apache-hosted sites could upload specifically crafted files that bypass MIME verification, leading to a cross-site scripting vulnerability.
via WordPress Blog