Beim besonders bei Bloggern beliebten CMS WordPress gab es vier Sicherheitslücken, die die Entwickler mit dem aktuellen Update auf Version 4.9.1 Ende letzter Woche geschlossen haben. Die Schwachstellen sollen in allen Versionen des CMS bis einschließlich Version 4.9 vorhanden sein.
Daher empfehlen die WordPress-Entwickler, das Content Management System zügig zu aktualisieren. Bei den meisten Installationen dürfte dies vermutlich automatisch passieren. Manuell kann man das Update aus dem Dashboard im Admin-Bereich heraus starten.
Mögliche Angreifer sollen die Lücken zum Teil aus der Ferne ausnutzen können, um sich darüber höhere Benutzerrechte zu verschaffen und diverse XSS-Attacken durchzuführen. Die Entwickler warnen ganz besonders davor, dass Angreifer die Schwachstellen zu einem Multi-Vektor-Angriff kombinieren könnten. Das CERT Bund des BSI stuft das Risiko der Sicherheitslücken nuir als „mittel“ ein.
Wie bei jedem Sicherheitsupdate hat das WordPress-Team auch mit diesem mehrere weitere Bugs beseitigt. Alle von WordPress 4.9.1 behobenen Fehler sind im Changelog der aktuellen Version gelistet.
