WordPress-Updateserver hatte schwere Sicherheitslücke

WordPress-Entwickler haben soeben eine kritische Lücke im Updateserver des beliebten CMS geschlossen. Potentielle Angreifer hätten eine schwache Hashfunktion zum Angriff benutzen können, die eigentlich sicherstellen sollte, dass verifizierte Entwickler ihre Änderungen von der Programmierplattform Github einspielen können, schreibt die Sicherheitsfirma Wordfence.

Seit der WordPress-Version 3.7 werden kritische Komponenten des CMS aus Sicherheitsgründen automatisch eingespielt. Dazu nimmt eine WordPress-Installation stündlich Kontakt zum Server api.wordpress.org auf, um abzufragen, ob es neue Updates gibt. Das Problem lag in der Verbindung zwischen dem Updateserver und Github und ist jetzt beseitigt.

Weitere Details dazu finden sie auch bei Golem.