Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Dennis Schirrmacher 5

Alert WordPress 4.7.1 sagt acht Sicherheitslücken und 62 Bugs Ade

WordPress 4.7.1 sagt acht Sicherheitslücken und 62 Bugs Ade

Die Entwickler empfehlen, das Sicherheitsupdate zügig einzuspielen. Unter gewissen Voraussetzungen könnten Angreifer Schadcode ausführen.

Das Content Management System (CMS) WordPress ist verwundbar und Angreifer könnten im schlimmsten Fall ohne Authentifizierung aus der Ferne Schadcode ausführen. In der aktuellen Ausgabe 4.7.1 haben die Entwickler eigenen Angaben zufolge acht Schwachstellen geschlossen.

Wer das CMS nutzt, sollte die abgesicherte Version zügig einspielen, raten die Entwickler. Das Notfallteam des Bundesamt für Sicherheit in der Informationstechnik (BSI) CERT Bund stuft das von den Lücken ausgehende Risiko insgesamt als "hoch" ein.

PHPMailer-Lücke bedroht WordPress nicht direkt

Die kritischste Lücke schließt das WordPress-Team in der Webmail-Bibliothek PHPMailer, die beim CMS standardmäßig mit an Bord ist. Aufgrund einer fehlerhaften Eingabeüberprüfung könnten Angreifer eigenen Code auf Systeme schieben und ausführen. Diese Lücke betrifft unter anderem auch weitere Content-Management-Systeme und ist seit Ende vergangenen Jahres bekannt.

Die PHPMailer-Schwachstelle bedroht WordPress aber nicht direkt, da die E-Mail-Implementierung des CMS wp_mail nicht dafür anfällig sein soll. Erst wenn Plugins auf die verwundbare Webmail-Bibliothek zugreifen, könnte es mit älteren WordPress-Versionen gefährlich werden. Die nun intergrierte Ausgabe 5.2.21 von PHPMailer weist den Fehler nicht mehr auf.

Eine weitere Lücke klafft in der REST API und wer es drauf anlegt, soll Nutzerdaten von Autoren eines öffentlichen Post abziehen können. Bei den verbleibenden Schwachstellen handelt es sich um CSRF und XSS-Lücken. Setzen Angreifer an diesen an, sollen sie etwa Sicherheitsmechanismen umgehen können.

Außerdem geben die Entwickler an, 62 Bugs in WordPress 4.7.1 ausgemerzt zu haben. Im Changelog finden sich alle Änderungen. (des)

5 Kommentare

Themen:

Anzeige
  1. WordPress 4.7.2 steigert die Sicherheit

    WordPress 4.7.2 steigert die Sicherheit

    Der Bedrohungsgrad der Lücken ist weder kritisch noch hoch, WordPress-Nutzer sollten aus Sicherheitsgründen dennoch die aktuelle Version installieren.

  2. Jetzt patchen! SQL-Injection-Lücke bedroht WordPress

    Jetzt patchen! SQL-Lücke bedroht WordPress

    Die abgesicherte WordPress-Version 4.8.3 ist erschienen. Nutzer sollten diese zügig installieren, da Angreifer Webseiten via SQL-Injection-Attacke übernehmen könnten.

  3. Sicherheits-Release: Entwickler raten zur zügigen Installation von WordPress 4.8.2

    Sicherheits-Release: Entwickler raten zur zügigen Installation von WordPress 4.8.2

    Das WordPress-Team schließt diverse Sicherheitslücken und härtet das CMS zusätzlich gegen SQL-Injection-Attacken.

  4. Cisco patcht Hintertür weg und schließt weitere Lücken

    Netzwerkkabel

    Unter bestimmten Voraussetzungen sollen Angreifer ohne viel Aufwand Email Security Appliances kapern können. Cisco stuft die Sicherheitslücke mit dem höchsten Bedrohungsgrad ein.

  1. Die Neuerungen von Linux 4.14

    Linux-Kernel 4.14

    Die neue Kernel-Version bringt Speicherverschlüsselung, einen neuen Schlafmodus und einige Performance-Verbesserungen. Außerdem überwindet sie eine Grenze, die auf die ersten 64-Bit-x86-Prozessoren zurückgeht.

  2. Lücke in Mediaplayern: Wie Hacker gezielt manipulierte Untertitel verteilten

    Lücke in Mediaplayern: Wie Hacker gezielt manipulierte Untertitel verteilt haben

    Sicherheitsforscher beschreiben, wie Angriffe mit präparierten Untertiteln vonstattengingen. Zudem zeigen Sie, wie Hacker zur Verteilung Untertitelforen infiltrierten.

  3. Die Neuerungen von Linux 4.13

    Linux-Kernel 4.13

    Der neue Kernel kann die Schwerarbeit bei der HTTPS-Verschlüsselung übernehmen. Statt einer "inakkuraten" Taktfrequenzangabe findet sich in /proc/cpuinfo jetzt nur noch der Basistakt des Prozessors. Außerdem sind jetzt Treiber für neue Grafikkerne von AMD und Intel dabei.

  1. Erste Ausfahrt: Jaguar E-Pace

    Jaguar E-Pace

    SUV plus gehobenes Image gleich Erfolg? Für Jaguar könnte diese Rechnung mit dem neuen E-Pace aufgehen. Eine erste Ausfahrt zeigt jedoch, dass ein klangvoller Name nicht alle Schwächen überdecken kann

  2. Luftschiff "Airlander 10" bei Havarie beschädigt

    Britisches Luftschiff reißt sich von Haltemast los

    Das Luftschiff "Airlander 10" hat sich von seinem Haltemast losgerissen und ist anschließend unsanft gelandet. Das Ausmaß der Schäden ist noch unklar.

  3. US-Einzelhändler wollen Teslas Elektro-Lastwagen testen

    US-Einzelhändler wollen Teslas Elektro-Lastwagen ausprobieren

    Unmittelbar nach der Vorstellung hat Tesla erste Interessenten für seinen elektrischen Lastwagen gefunden. Analysten trauen der Firma zu, den Markt umzukrempeln, obwohl bereits viele etablierte Konkurrenten in den Startlöchern stehen.

  4. Vodafone schaltet UMTS-Femtozellen ab

    SIM Karte

    Vodafone kündigt Verträge für UMTS-Femtozellen, die in Gebäuden für eine bessere Mobilfunkanbindung sorgen.

Anzeige