Auf dieser Seite: [ausblenden]
Haben Sie Ihr WordPress auf Version aktualisiert? 5.4.2? Wenn Sie es nicht haben, Überlegen Sie, dies so schnell wie möglich zu tun, wie das Update enthält 23 Korrekturen und Verbesserungen, und speziell 6 Sicherheitsupdates, 3 davon Adresse XXS, oder Cross-Site-Scripting-Schwachstellen.
Sicherheitskorrekturen in der WordPress-Version 5.4.2
Die erste XSS-Sicherheitsanfälligkeit, die in der neuesten Version von WordPress behoben wurde, hätte es authentifizierten Benutzern mit geringen Berechtigungen ermöglichen können, JavaScript zu Posts im Blockeditor hinzuzufügen.
Die Sicherheitsanfälligkeit kann es einem Angreifer ermöglichen, JavaScript in einen Beitrag einzufügen, indem er die Attribute von Embedded iFrames bearbeitet. Benutzer mit der Funktion edit_posts, oder Benutzer mit der Contributor-Rolle oder höher in den meisten Konfigurationen, könnte in der Lage sein, das Problem zu nutzen, Wordfence-Forscher sagen.
Der zweite XSS-Fehler könnte authentifizierte Benutzer mit Upload-Berechtigungen ermöglichen (Funktion upload_files) um JavaScript zu Mediendateien hinzuzufügen. Mit anderen Worten, Angreifer können möglicherweise JavaScript-Code in das Feld "Beschreibung" einer hochgeladenen Mediendatei einfügen. Dies schließt Benutzer mit der Autorenrolle oder höher ein.
Ebenfalls, Lesen 130M Angriffe Versuchen Sie, Datenbankanmeldeinformationen von 1.3M WordPress-Sites zu stehlen
Der dritte authentifizierte XSS-Fehler könnte es Angreifern ermöglichen, JavaScript in das Stylesheet eines kaputten WordPress-Themas einzufügen. Der Code wird dann ausgeführt, wenn ein anderer Benutzer die Seite Darstellung -> Themen öffnet. Diese Sicherheitsanfälligkeit kann von Benutzern mit den Funktionen install_themes oder edit_themes ausgenutzt werden, In den meisten Konfigurationen für Administratoren verfügbar, Wordfence warnt.
Welche anderen Sicherheitslücken wurden in der WordPress-Version behoben? 5.4.2?
– Ein offenes Umleitungsproblem in wp_validate_redirect();
– Ein Problem, bei dem die Set-Screen-Option von Plugins missbraucht werden kann, was zu einer Eskalation von Berechtigungen führt;
– Ein Problem, bei dem Kommentare von kennwortgeschützten Posts und Seiten unter bestimmten Bedingungen angezeigt werden können.
Die gute Nachricht ist, dass die meisten dieser Probleme nur unter bestimmten Bedingungen ausgenutzt werden können, eingeschränkte Bedingungen oder von vertrauenswürdigen Benutzern. dennoch, Ein Update auf die neueste Version wird dringend empfohlen. Beachten Sie, dass dies eine kleinere WordPress-Version ist, Die meisten Websites werden automatisch auf die Version aktualisiert 5.4.2.