Wer das CMS WordPress nutzt, sollte den Update zügig installieren, raten die Entwickler. Die Lücke wird von Sicherheitsexperten als „hoch“ eingestuft.

Die kritischste Lücke schließt das WordPress-Team in der Webmail-Bibliothek PHPMailer, die beim CMS standardmäßig mit an Bord ist. Aufgrund einer fehlerhaften Eingabeüberprüfung könnten Angreifer eigenen Code auf Systeme schieben und ausführen. Diese Lücke betrifft unter anderem auch weitere Content-Management-Systeme und ist seit Ende vergangenen Jahres bekannt.
Die PHPMailer-Schwachstelle bedroht WordPress aber nicht direkt, da die E-Mail-Implementierung des CMS wp_mail nicht dafür anfällig sein soll. Erst wenn Plugins auf die verwundbare Webmail-Bibliothek zugreifen, könnte es mit älteren WordPress-Versionen gefährlich werden. Die nun intergrierte Ausgabe 5.2.21 von PHPMailer weist den Fehler nicht mehr auf.
Eine weitere Lücke klafft in der REST API und wer es drauf anlegt, soll Nutzerdaten von Autoren eines öffentlichen Post abziehen können. Bei den verbleibenden Schwachstellen handelt es sich um CSRF und XSS-Lücken. Setzen Angreifer an diesen an, sollen sie etwa Sicherheitsmechanismen umgehen können.

Die Entwickler haben insgesamt 62 Bugs in WordPress 4.7.1 ausgemerzt. Alle Änderungen sind hier aufgelistet.

(Quelle: heise)