In dem beliebten CMS WordPress gibt es zwei kritische Sicherheitslücken, die ein Update auf Version 4.6.1 schließt, warnt der Hersteller in seinem Blog. Deshalb sollte jeder WordPress-Webseitenbetreiber das Update einspielen, der WordPress 4.6 oder älter nutzt und das Auto-Update nicht aktiviert hat.

Auch Nutzer eines gehosteten WordPress oder mit aktiviertem Auto-Update sollten sicherheitshalber kontrollieren, ob 4.6.1 schon installiert ist. Das Update behebt darüber hinaus noch 15 weitere Fehler.

Die erste der Lücken erlaubt Site-Benutzern das Ausführen von bösartigem JavaScript-Code, indem sie ein Bild mit manipuliertem Dateinamen hochladen. Diese XSS-Lücke hatte das SumOfPwn-Mitglied Cengiz Han Sahin entdeckt. Die zweite fand der WordPress-Mitarbeiter Dominik Schilling. Sie betrifft den Upload-Mechanismus des CMS.