Von WordPress.org wurde kurzfristig und eher überraschend ein Security Release veröffentlicht. Seti dem späten Abend vom 16.05.2017 ist das Sicherheits-Update für WordPress verfügbar, das offenbar 6 wesentliche Sicherheitslücken in dem OpenSource CMS schließt.
Dabei betrifft WordPress 4.7.5 auch Updates früherer Versionen. WordPress Anwender, die das am weitesten verbreitete Content Management System zum Betrieb Ihres Blogs oder ihrer Websites verwenden, werden aufgefordert, das Software-Update schnell einzuspielen.
Betroffen sind alle WordPress-Installationen in der Version 4.7.4 und davor. Konkret betrifft das Update folgende 6 Vorfälle:
- Unzureichende Validierung bei einer Weiterleitung in der HTTP Klasse. Gemeldet von by Ronni Skansing.
- Unzureichendes Handling der Post Meta Daten und Werte in der XML-RPC API. Reported by Sam Thomas.
- Falsche Verfügbarkeits-Checks für Post Meta Daten in der XML-RPC API. Reported by Ben Bidner vom WordPress Security Team.
- Eine Cross Site Anfälligkeit (CRSF) wurde im Filesystem erkannt und von Yorick Koster gemeldet
- Eine Cross-Site Scripting (XSS) Verwundbarkeit beim Upload von sehr gorßen Dateien . Gemeldet von Ronni Skansing.
- Eine Cross Site Scripting (XSS) Anfälligkeit im Theme Customizer – gemeldet von Weston Ruter vom WP Sicherheits-Team
Neben den 6 kritischen Fehlern beinhaltet WordPress 4.7.5 3 weitere Behebungen von Fehlern (die allersdings nicht sicherheits-relevant sind). Die ausführliche Liste der Änderungen finden Sie in den Release notes bzw. in der List der Änderungen.
WordPress 4.7.5 können Anwender wie gewohnt auf WordPress.og herunterladen. Alternativ können Sie auch jederzeit in Ihrer WordPress-Installation den Update auf die Version 4.7.5. im Dashboard ausführen. Klicken Sie dazu im Dashboard von WordPress auf „Aktualisieren Sie jetzt“. Der Download der notwendigen Daten sowie der Dateien im Dateisystem inkl. Update der Datenbank erfolgt dann autoamtisch.
Der nächste Update auf das so genannte Major Release 4.8 von WordPress ist vom Entwickler-Team für Juni 2017 geplant
Mehr dazu im Blog von WordPress.org.
WordPress 4.7.5 Security and Maintenance Release WordPress versions 4.7.4 and earlier are affected by six security issues: