Üblicherweise poste ich die Sicherheits-News zum Thema WordPress in unserem Newsletter. Da ich allerdings gerade auf’m Sprung bin, geht es deutlich schneller wenn ich das hier mache.
Also, aktuell gibt es eine Sicherheitslücke in WordPress, die alle Versionen von 3.7 bis 5.0 betrifft. Die Version 4.9.9 ist davon nicht betroffen:
Ein Angreifer mit Autorenrechten kann beliebigen Code ausführen, indem er ein erstelltes Bild mit PHP-Code in den Exif-Metadaten hochlädt.
Momentan ist allerdings noch nicht ersichtlich ob die Sicherheitsupdates für die Hauptversionen 3.7 bis 4.8 das Problem beheben. Es gibt nämlich für diese Hauptversionen Updates die noch Mitte März eingespielt wurden: zum Beispiel 3.7.29 und 4.8.9.
Bei diesen Hauptversionen stellt sich daher die Frage, ob die Patches vom 13. März 2019 ausreichend sind oder ob man auf WordPress 4.9.9 bzw. 4.9.10 aktualisieren soll. Für die Hauptversion 5.0 ist die Lage klar, hier muss man mindestens auf 5.0.1 aktualisieren.
Alle Haupt- und Unterversionen findet man im Archiv.
Darüber hinaus gibt es auch Lücken in ein paar Plugins:
- WooCommerce Checkout Manager 4.2.6 – eine Lücke in aktueller Version. Patch noch nicht vorhanden
- Contact Form Builder ≤ 1.0.68 – gefixt in der Version 1.0.69
- WordPress Download Manager ≤ 2.9.93 – gefixt in der Version 2.9.94
- Download Advanced Contact form 7 DB ≤ 1.6.0 – gefixt in der Version 1.6.1
Symbolbild CCO von Pixabay
Wir arbeiten seit 20 Jahren mit WordPress und bieten diverse Dienstleistungen rund um das System an. Kontaktiere uns für weitere Informationen oder für ein Angebot.
Bei jeder WP-Installation setze ich den offiziellen Codex-Tipp um, PHP-Ausführung im Uploads-Verzeichnis zu verhindern. Damit sollte man doch vor der Sicherheitslücke geschützt sein, oder? Zumindest wenn der Angreifer den üblichen Bildupload wählt.