Wer Websites mit dem Content Management System (CMS) WordPress erstellt, sollte die aktuelle Ausgabe installieren. Andernfalls könnten Angreifer eigene Befehle ausführen oder sich erweiterte Nutzerrechte aneignen.
In der Version 5.4.2 haben sich die Entwickler insgesamt um sechs Schwachstellen gekümmert. In einem Beitrag zur aktuellen Version sind keine Kennzeichnungen (CVE-Nummern) der Lücken zu finden. Auch eine Einstufung des Angriffsrisikos sucht man vergeblich.
Den knappen Beschreibungen der Schwachstellen zufolge müssen Angreifer für einige Attacken authentifiziert sein. Ist das gegeben, könnten sie beispielsweise über XSS-Attacken eigenen Code in Form von JavaScript in bestimmten Teilen von Websites hinterlegen. Ob es sich um persistente XSS-Attacken handelt, geht aus dem Beitrag nicht hervor.
Den Entwicklern zufolge sind alle Versionen vor 5.4.2 von den Lücken betroffen.
Quelle: WordPress 5.4.2 schmeißt Sicherheitsprobleme über Bord | heise online