WordPress 4.2.1 - Sicherheitsupdate behebt Sicherheitsanfälligkeit in Zero Day XSS - Jetzt aktualisieren

Nur drei Tage nach der Veröffentlichung von WordPress 4.2 stellte ein Sicherheitsforscher eine Zero-Day-XSS-Sicherheitsanfälligkeit fest, die WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 und 3.9.3 betrifft. Dadurch kann ein Angreifer JavaScript in Kommentare einfügen und Ihre Website hacken. Das WordPress-Team hat schnell reagiert und das Sicherheitsproblem in WordPress 4.2.1 behoben. Wir empfehlen dringend, dass Sie Ihre Websites sofort aktualisieren.

Jouko Pynnönen, Sicherheitsforscher bei Klikki Oy, der das Problem gemeldet hat, beschrieb es als:

Wenn der Angreifer durch einen angemeldeten Administrator ausgelöst wird, kann er die Sicherheitsanfälligkeit dazu verwenden, über das Plugin und die Design-Editoren beliebigen Code auf dem Server auszuführen.

Alternativ kann der Angreifer das Administratorkennwort ändern, neue Administratorkonten erstellen oder andere Aktionen des derzeit angemeldeten Administrators auf dem Zielsystem durchführen.

Diese besondere Sicherheitsanfälligkeit ähnelt der von Cedric Van Bockhaven gemeldeten, die in der Sicherheitsupdates WordPress 4.1.2 behoben wurde.

Leider haben sie keine ordnungsgemäßen Sicherheitsinformationen verwendet und stattdessen den Exploit auf ihrer Website veröffentlicht. Dies bedeutet, dass diejenigen, die ihre Website nicht aktualisieren, ernsthaften Risiken ausgesetzt sind.

Aktualisieren: Wir haben erfahren, dass sie versucht haben, das WordPress-Sicherheitsteam zu kontaktieren, aber keine rechtzeitige Antwort erhalten haben.

Wenn Sie die automatischen Updates nicht deaktiviert haben, wird Ihre Site automatisch aktualisiert.

Wir empfehlen Ihnen dringend, Ihre Website auf WordPress 4.2.1 zu aktualisieren. Stellen Sie sicher, dass Sie Ihre Site vor dem Update sichern.