Für das Content Management System (CMS) WordPress steht seit letzter Woche ein Update bereit, das insgesamt sieben potenziell aus der Ferne ausnutzbare Schwachstellen beseitigt. Sofern noch nicht geschehen, sollten WordPress-Nutzer ihre Installation zeitnah über das Dashboard updaten.
Details sowohl zu den Sicherheits- als auch zu den Wartungsupdates nennt ein Support-Dokument zur neuen WordPress-Version 5.4.1. Neben Cross-Site-Scripting (XSS)-Schwachstellen beseitigt das Update eine Möglichkeit des unbefugten Zugriffs auf bestimmte private Posts sowie ein Problem mit Tokens für den Passwort-Reset, die nach dem Gebrauch bislang nicht in der erforderlichen Weise ungültig gemacht wurden ("an issue where password reset tokens were not properly invalidated").
Von den Sicherheitsproblemen betroffen sind – mit Ausnahme einer einzelnen XSS-Schwachstelle, die sich auf Version 5.4 RC1/RC2 beschränkte und in RC5 gefixt wurde – alle WordPress-Versionen bis einschließlich 5.4. Die abgesicherte Version 5.4.1 ist im Download-Bereich der offiziellen WordPress-Website verfügbar.
Quelle: WordPress: Neue Version bringt Sicherheitsverbesserungen mit | heise online