Das CERT Bund des BSI stuft das Risiko der WordPress Sicherheitslücken als „mittel“ ein.
In WordPress gab es vier Sicherheitslücken, die die Entwickler mit der aktuellen Ausgabe 4.9.1 Ende letzter Woche geschlossen haben. Die Schwachstellen sollen in allen Versionen des besonders bei Bloggern beliebten CMS bis einschließlich Version 4.9 gesteckt haben.
Deshalb raten die Entwickler, das Content Management System zügig zu aktualisieren. Je nach Konfiguration wird dies bei einigen von WP Nutzern erstellten Webseiten automatisch passieren. Manuell kann man das Update aus dem Dashboard heraus starten.
Wichtig: Bei automatischen Updates sollte man die Webseite regelmäßig überprüfen. Fehler und Probleme, wie z.B. eine zerstörte Webseite bleiben sonst eventuell unentdeckt und verprellen Besucher. Besser ist immer ein manuelles Update, so das Probleme sofort auffallen, ein Backup eingespielt oder ein Bug gefixt werden kann.
Potentielle Angreifer sollen die vier Lücken teilweise aus der Ferne ausnutzen können, um sich so höhere Benutzerrechte zu verschaffen und verschiedene XSS-Attacken durchzuführen. Die Entwickler warnen auch ausdrücklich davor, dass Angreifer die Schwachstellen zu einem Multi-Vektor-Angriff kombinieren könnten. Das CERT Bund des BSI stuft das Risiko der Sicherheitslücken als „mittel“ ein.
Außerdem hat das WordPress-Team mit dem Sicherheitsupdate mehrere weitere Bugs gefixt. Zum Beispiel konnten einige User den File und Plugin Editor aufgrund eines File Cache Fehlers nicht mehr benutzen. Alle behobenen Fehler sind im Changelog der aktuellen Version gelistet.
Bei allen GSL Kunden mit Wartungsvertrag, haben wir das Update natürlich gleich eingespielt um die Sicherheitslücken zu schließen. Auch alle vorhandenen Updates für installierte Plugins der Webseiten wurden hierbei gleich eingespielt.
Hinterlasse einen Kommentar