Die Entwickler von WordPress haben gerade eine kritische Lücke im Updateserver des beliebtesten CMS der Welt geschlossen. Potentielle Angreifer hätten eine schwache Hashfunktion der Infrastruktur zum Angriff ausnutzen können, die eigentlich dafür sorgen sollte, dass verifizierte Entwickler ihre Änderungen von der Programmierplattform Github einspielen können, schreibt die Sicherheitsfirma Wordfence.

Schon seit der WordPress-Version 3.7 werden kritische Komponenten des CMS aus Sicherheitsgründen automatisch eingespielt. Dazu nimmt jede WordPress-Installation einmal pro Stunde Kontakt zum Updateserver api.wordpress.org auf, um dort abzufragen, ob es neue Updates gibt. Das Problem lag dabei in der Verbindung zwischen diesem Updateserver und Github und ist inzwischen beseitigt.

Weitere Details dazu finden sie auch beim Newsdienst Golem.