Im populären CMS WordPress stecken zwei kritische Sicherheitslücken, die ein Update auf Version 4.6.1 stopft, warnt der Hersteller in seinem Blog. Das Update sollte daher jeder Webseiten-Betreiber einspielen, der WordPress 4.6 oder älter nutzt und das Auto-Update deaktiviert hat. Auch Nutzer von gehostetem WordPress oder mit aktiviertem Auto-Update sollten zur Sicherheit kontrollieren, ob 4.6.1 installiert ist. Das Update behebt zudem 15 weitere Fehler.

Die erste Lücke erlaubt Site-Benutzern das Ausführen von bösartigem JavaScript, indem sie ein Bild mit manipuliertem Dateinamen hochladen; diese XSS-Lücke hat SumOfPwn-Mitglied Cengiz Han Sahin entdeckt. Die zweite hat der WordPress-Mitarbeiter Dominik Schilling gefunden, sie betrifft den Upload-Mechanismus.

(Quelle: Heise)