Nur 3 Tage nach der 4.2-Version von WordPress entdeckte ein Schwachstellenforscher einen XSS-Fehler, der sich auf Versionen auswirkt 4.2, 4.1.2, 4.1.1, 4.1.3 und 3.9.3. Dieser Fehler ermöglicht es einem Hacker, JavaScript-Code in Kommentare einzuschleusen, um ihn zu hacken Ihr Blog.

Das WordPress-Entwicklungsteam hat reagiert und den Fehler bei dieser neuen Version von WordPress schnell behoben. Wir empfehlen, dass Sie so schnell wie möglich aktualisieren.

XSS-Sicherheits

Jouko PynnönenDies ist der Name des Autors dieser Entdeckung, der den Fehler wie folgt gemeldet hat:

Ausgelöst durch einen eingeloggten Administrator kann ein Angreifer mit den Standardeinstellungen von WordPress eine Schwachstelle ausnutzen, um über den Plugin-Editor beliebigen Code auf dem Server auszuführen und Themen.

Aber auch Hacker können das Administratorkennwort ändern, neue Administratoren erstellen oder mit angemeldeten Administratorrechten alles Mögliche tun.

Diese Sicherheitsanfälligkeit ähnelt der von Cedric Van Brockhaven das wurde in der version behoben 4.1.2 WordPress.

Leider haben sie keinen sicheren Offenlegungsprozess für Sicherheitslücken verwendet und ihn in ihrem Blog veröffentlicht. Und aus gutem Grund, wenn du es nicht schnell sagst Ihr Blog Wenn Sie auf dem neuesten Stand sind, geschieht dies auf Ihr eigenes Risiko.

Wenn Sie automatische Updates auf WordPress deaktiviert haben, müssen Sie dies manuell tun.