Gestern gaben die Entwickler mit WordPress 4.8.2 das zweite Sicherheitsupdate (security release) für das 4.8er Release des besonders bei Bloggern beliebten CMS heraus.

Das Update beseitigt konkret 5 Cross-Site-Scripting(CSS)-Lücken und zwei Path-Traversal-Verwundbarkeiten. Ein offener Redirect im Benutzerschirm und die Möglichkeit, mit $wpdb->prepare() unerwartete und unsichere Abfragen zu erzeugen, die das Potential für SQL-Injection (SQLi) haben, werden mit WordPress 4.8.2 auch geschlossen.

Über diese insgesamt 9 geschlossenen Sicherheitslücken hinaus bringt das Update WordPress 4.8.2 auch sechs Wartungsupdates (Bugfixes) für offene Probleme im 4.8er Release mit – hier ein Übersicht dazu aus den (englischsprachigen) Release Notes:

Emoji

  • #41584– Upgrade Twemoji to 2.5.0
  • #41852– Fix UN flag test by returning the correct value.

I18N

  • #41794– Support numbers in locales during installation

Security

  • #13377– Add more sanitization in _cleanup_header_comment

Widgets

  • #41596– New Text Widget recognizes HTML but does not render it in the front end
  • #41622– Text widget can show DOMDocument::loadHTML() warnings in admin when is_legacy_widget method is called

Die WordPress-Entwickler empfehlen, das Update WordPress 4.8.2 möglichst umgehend zu installieren – das gilt für alle vorhergehenden Versionen von WordPress.

Sie können die Installation von WordPress 4.8.2 im Admin-Bereich mit Klick auf „Dashboard“ und dann auf „Aktualisierungen“ starten. Bei WordPress-Präsenzen, bei denen die automatische Aktualisierung aktiviert ist, werden solche Updates automatisch ausgerollt.