WordPress 4.0.1 behebt Sicherheitslücken

Wordpress 4.0.1 Titel

WordPress 4.0.1 ist am 20. November 2014 erschienen und behebt Sicherheitslücken und diverse Fehler. Das Update wird allen WordPress-Nutzern schnellst möglich empfohlen.

Wordpress 4.0.1

Folgende Sicherheitslücken wurden (unter anderem) geschlossen:

  • Drei Cross-Site-Scripting Lücken, womit die Benutzer mit der Rolle Mitarbeiter und Autor die Website manipulieren konnten. Entdeckt von Jon Cave, Robert Chapin und John Blackbourn vom WordPress Sicherheitsteam.
  • Eine Cross-Site-Request-Forgery Lücke, womit Benutzer unberechtigt aufgefordert werden könnten, das Passwort zu ändern.
  • Ein Problem, womit man bei der Passwort-Abfrage einen Denial of Service auslösen konnte. Gemeldet wurde dies von Javier Nieto Arevalo und Andres Rojas Guerrero.
  • Weitere mögliche serverseitige Übergriffs-Attacken, wenn WordPress Aufrufe über HTTPS tätigen musste. Gemeldet von Ben Bidner.
  • Eine extrem unglückliche Hashtag-Überschneidung hätte es ermöglichen können, dass Benutzerkonten manipuliert werden konnten. Gemeldet von David Anderson.
  • WordPress annuliert nun den einmaligen Link in der Passwort-Zurücksetzen-Mail, falls dem Benutzer doch sein Passwort wieder eingefallen ist, sich anmeldet und dann die E-Mail Adresse ändert. Gemeldet von Momen Bassel, Tanoy Bose und Bojan Slavkovi? of ManageWP.

(Quelle: blog.wpde.org)

Nicht vergessen: vor dem Update am besten ein Backup machen. In der Regel passiert zwar nichts (ich habe bisher nie das Backup gebraucht), aber sicher ist sicher.

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.