Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.733.931 Produkten

Dennis Schirrmacher 5

Alert WordPress 4.7.1 sagt acht Sicherheitslücken und 62 Bugs Ade

WordPress 4.7.1 sagt acht Sicherheitslücken und 62 Bugs Ade

Die Entwickler empfehlen, das Sicherheitsupdate zügig einzuspielen. Unter gewissen Voraussetzungen könnten Angreifer Schadcode ausführen.

Das Content Management System (CMS) WordPress ist verwundbar und Angreifer könnten im schlimmsten Fall ohne Authentifizierung aus der Ferne Schadcode ausführen. In der aktuellen Ausgabe 4.7.1 haben die Entwickler eigenen Angaben zufolge acht Schwachstellen geschlossen.

Anzeige

Wer das CMS nutzt, sollte die abgesicherte Version zügig einspielen, raten die Entwickler. Das Notfallteam des Bundesamt für Sicherheit in der Informationstechnik (BSI) CERT Bund stuft das von den Lücken ausgehende Risiko insgesamt als "hoch" ein.

Die kritischste Lücke schließt das WordPress-Team in der Webmail-Bibliothek PHPMailer, die beim CMS standardmäßig mit an Bord ist. Aufgrund einer fehlerhaften Eingabeüberprüfung könnten Angreifer eigenen Code auf Systeme schieben und ausführen. Diese Lücke betrifft unter anderem auch weitere Content-Management-Systeme und ist seit Ende vergangenen Jahres bekannt.

Die PHPMailer-Schwachstelle bedroht WordPress aber nicht direkt, da die E-Mail-Implementierung des CMS wp_mail nicht dafür anfällig sein soll. Erst wenn Plugins auf die verwundbare Webmail-Bibliothek zugreifen, könnte es mit älteren WordPress-Versionen gefährlich werden. Die nun intergrierte Ausgabe 5.2.21 von PHPMailer weist den Fehler nicht mehr auf.

Eine weitere Lücke klafft in der REST API und wer es drauf anlegt, soll Nutzerdaten von Autoren eines öffentlichen Post abziehen können. Bei den verbleibenden Schwachstellen handelt es sich um CSRF und XSS-Lücken. Setzen Angreifer an diesen an, sollen sie etwa Sicherheitsmechanismen umgehen können.

Außerdem geben die Entwickler an, 62 Bugs in WordPress 4.7.1 ausgemerzt zu haben. Im Changelog finden sich alle Änderungen. (des)

5 Kommentare

Themen:

Anzeige
  1. WordPress 4.9.2 schmeißt Flash raus – für die Sicherheit

    WordPress 4.9.2 schmeißt Flash raus – für die Sicherheit

    In WordPress klafft eine nicht als kritisch geltende Lücke, die Angreifer aus der Ferne ausnutzen könnten. Eine abgesicherte Version steht bereit.

  2. Jetzt patchen! SQL-Injection-Lücke bedroht WordPress

    Jetzt patchen! SQL-Lücke bedroht WordPress

    Die abgesicherte WordPress-Version 4.8.3 ist erschienen. Nutzer sollten diese zügig installieren, da Angreifer Webseiten via SQL-Injection-Attacke übernehmen könnten.

  3. Vier Sicherheitslücken in WordPress 4.9.1 gestopft

    Vier Sicherheitslücken in WordPress 4.9.1 gestopft

    Das Content Management System ist in einer abgesicherten Version erschienen. Neben den den geschlossenen Sicherheitslücken haben die Entwickler noch weitere Bugs beseitigt.

  4. Sicherheitsupdate für extrem kritische Lücke in Drupal ist da

    Sicherheitsupdate für extrem kritische Lücke in Drupal ist da

    Admins sollten zügig die ab sofort verfügbaren abgesicherten Version des CMS Drupal installieren.

  1. WordPress: Erste Schritte für die eigene Website

    WordPress: Erste Schritte für die eigene Website

    WordPress ist das populärste Content-Management-System der Welt. Kein Wunder: Die Software ist einfach zu bedienen, kostenlos und flexibel erweiterbar. Zahlreiche Plug-ins und Themes machen das CMS zum Alleskönner.

  2. Die Neuerungen von Linux 4.14

    Linux-Kernel 4.14

    Die neue Kernel-Version bringt Speicherverschlüsselung, einen neuen Schlafmodus und einige Performance-Verbesserungen. Außerdem überwindet sie eine Grenze, die auf die ersten 64-Bit-x86-Prozessoren zurückgeht.

  3. Lücke in Mediaplayern: Wie Hacker gezielt manipulierte Untertitel verteilten

    Lücke in Mediaplayern: Wie Hacker gezielt manipulierte Untertitel verteilt haben

    Sicherheitsforscher beschreiben, wie Angriffe mit präparierten Untertiteln vonstattengingen. Zudem zeigen Sie, wie Hacker zur Verteilung Untertitelforen infiltrierten.

  1. Test: Citroёn C3 Aircross BlueHDI 100

    Citroen C3 Aircross

    Mit dem C3 Aircross will Citroёn ein Stück vom boomenden Mini-SUV-Segment mit hochgebockten Frontantriebskleinwagen abhaben. Der expressive Franzose soll besonders komfortabel und praktisch sein. Kann er das im Alltag bestätigen?

  2. Breitbandausbau: Bauern klagen über langsames Internet

    LTE auf dem Land

    Langsames Internet, schlechtes Mobilfunknetz – das ist auf dem Land oft noch Alltag. Auch für Landwirte ist das ein Problem. Der Bauernverband fordert die Bundesregierung zu mehr Anstrengungen auf.

  3. Private Videoüberwachung: Illegaler Einsatz ist strafbar

    Überwachung im Innenhof: Beschwerden von Nachbarn nehmen zu

    Private Überwachungskameras hängen in Hauseingängen oder an Balkonen, filmen den Innenhof oder Besucher im Hausflur. Immer mehr Menschen sehen sich dadurch belästigt. Berlins Datenschutzbeauftragte bekommt es zu spüren.

  4. Missing Link: Im Takt der Maschine, oder: Wenn Roboter regieren

    Missing Link: Im Takt der Maschine, oder: Wenn Roboter regieren

    Weltuntergangsszenarien sind en vogue, wenn die Stichworte Künstliche Intelligenz und Roboter fallen. Die Machtergreifung der Maschinen aber findet bereits statt. Dabei ist eine Mensch-Maschine-Beziehung möglich, die uns von entfremdeter Arbeit befreit.

Anzeige