Wenn Sie Internetseiten unter dem Content Management System (CMS) WordPress erstellen oder administrieren, sollten Sie jetzt umgehend die aktuellste Version installieren. Bei allen älteren Versionen des nicht nur bei Bloggern beliebtesten CMS könnten böswillige Angreifer sich erweiterte Nutzerrechte beschaffen oder sogar eigene Befehle suf dem Rechner ausführen.

Mit Version 5.4.2 haben die Entwickler des CMS insgesamt sechs Schwachstellen beseitigt. In dem Beitrag zur aktuellen Version findet man aber leider keine Kennzeichnungen (CVE-Nummern) der Lücken. Auch die Einstufung des Angriffsrisikos der einzelnen Lücken sucht man dort vergeblich.

Beschreibung der Fehler verbesserungswürdig

Nach den recht knappen Beschreibungen der Sicherheitslücken müssen potentielle Angreifer für einige der Angriffe vorher authentifiziert sein. Ist das gegeben, könnten sie zum Beispiel über XSS-Attacken ihren eigenen Code in bestimmten Teilen der Seiten als JavaScripts hinterlegen. Ob es sich dabei um persistente XSS-Attacken handelt oder nicht, geht aus dem Beitrag ebenfalls nicht hervor.

Nach Aussage der Entwickler sind alle WordPress-Versionen vor 5.4.2 von diesen Sicherheitslücken betroffen.