In dem beliebten Content-Managementsystem (CMS) WordPress gibt es zwei kritische Sicherheitslücken, die ein Update auf Version 4.6.1 schließt, warnt der Hersteller der Software inseinem Blog. Daher sollte jeder Betreiber von Internetseiten auf WordPress-Basis das Update möglichst umgehend einspielen, wenn er WordPress 4.6 oder älter nutzt und das Auto-Update auf seinem Server nicht aktivierthat.
Auch die Benutzer von gehosteten WordPress-Systemen oder mit aktiviertem Auto-Update sollten sicherheitshalber überprüfen, ob WordPress 4.6.1 dort schon installiert ist. Das Update behebt darüber hinaus noch 15 weitere Fehler in der Software.
Die erste der beiden Haupt-Sicherheitslücken erlaubt den Benutzern das Ausführen von bösartigem JavaScript-Code, indem sie ein Bild mit einem manipulierten Dateinamen hochladen. Diese schwere XSS-Lücke hatte das SumOfPwn-Mitglied Cengiz Han Sahin entdeckt. Die zweite Lücke fand WordPress-Mitarbeiter Dominik Schilling. Sie betrifft den Upload-Mechanismus des CMS.