JARVIS
Das beliebte Blogsystem WordPress erhielt das Security Update 5.8.3. Dieses schließt 4 Sicherheitslücken die seit Version 3.7 existieren und geschlossen wurden. Das nächste geplante Release wird das in Version 5.9 sein.
WordPress 5.8.3 Release Notes
- Props to Karim El Ouerghemmi and Simon Scannell of SonarSource for disclosing an issue with stored XSS through post slugs.
- Props to Simon Scannell of SonarSource for reporting an issue with Object injection in some multisite installations.
- Props to ngocnb and khuyenn from GiaoHangTietKiem JSC for working with Trend Micro Zero Day Initiative on reporting a SQL injection vulnerability in WP_Query.
- Props to Ben Bidner from the WordPress security team for reporting a SQL injection vulnerability in WP_Meta_Query (only relevant to versions 4.1-5.8).
Quelle: News – WordPress 5.8.3 Security Release – WordPress.org
Interessiert in verschiedenste IT Themen, schreibe ich in diesem Blog über Software, Hardware, Smart Home, Games und vieles mehr. Ich berichte z.B. über die Installation und Konfiguration von Software als auch von Problemen mit dieser. News sind ebenso spannend, sodass ich auch über Updates, Releases und Neuigkeiten aus der IT berichte. Letztendlich nutze ich Taste-of-IT als eigene Dokumentation und Anlaufstelle bei wiederkehrenden Themen. Ich hoffe ich kann dich ebenso informieren und bei Problemen eine schnelle Lösung anbieten. Wer meinen Aufwand unterstützen möchte, kann gerne eine Tasse oder Pod Kaffe per PayPal spenden – vielen Dank.
Sind die Probleme „unauthenticated“ ausnutzbar? Steht leider bei den Release Notes nicht dabei und die Verlinkung zum trac geht ins Leere.
Hi Dario,
finden konnte ich direkt auch nichts, aber da es Sicherheitslücken sind und dringend empfohlen wird zu aktualisieren, gehe ich mal stark von einer Möglichkeit eines Angriffes aus.
Dass eine Ausnutzung möglich ist, ist klar, die offene Frage ist, ob das auch ohne einen WordPress Benutzeraccount, also „unauthenticated“, funktioniert.
Hallo Dario,
ah ok. Dazu konnte ich leider auch nichts finden. Am besten dazu mal in der WordPress Community direkt nachfragen.