WordPress 5.4.2 wurde veröffentlicht. Dieses Sicherheits- und Wartungs-Release bringt 23 Fixes, bzw. Verbesserungen und behebt 6 Sicherheitslücken. Es wird empfohlen, möglichst zeitnah zu aktualisieren – für alle WordPress-Versionen ab 3.7 wurden entsprechende Sicherheits-Updates veröffentlicht.
Die WordPress-Versionen 5.4.1 und älter sind von den folgenden Schwachstellen betroffen, die mit der Version 5.4.2 behoben werden.
Danke an
- Sam Thomas (jazzy2fives) für das Aufdecken einer XSS-Schwachstelle, durch die authentifizierte Benutzer mit geringen Rechten JavaScript zu Beiträgen im Block-Editor hinzufügen können.
- Luigi – (gubello.me) für das Aufspüren einer XSS-Schwachstelle, durch die authentifizierte Benutzer mit Upload-Berechtigungen JavaScript zu Mediendateien hinzufügen können.
- Ben Bidner vom WordPress-Sicherheitsteam für das Aufdecken eines offenen Weiterleitungs-Problems in
wp_validate_redirect()
. - Nrimo Ing Pandum für das Auffinden einer authentifizierten XSS-Schwachstelle bei den Theme-Uploads.
- Simon Scannell von RIPS Technologies für das Aufdecken einer Schwachstelle, bei der die
set-screen-option
von Plugins zweckentfremdet werden kann, was zu einer Erweiterung der Berechtigungen führt. - Carolina Nymark für die Entdeckung einer Schwachstelle, durch die Kommentare von passwortgeschützten Beiträgen und Seiten unter bestimmten Bedingungen angezeigt werden können.
Danke an alle, die diese Sicherheitslücken verantwortungsvoll gemäß dem responsible disclosure gemeldet haben.
Ein spezielles Wartungs-Update ist außerdem für die Versionen 5.1, 5.2 und 5.3 erfolgt, weitere Informationen hierzu findest du in den entsprechenden Entwickler-Hinweisen. Du kannst die vollständige Liste der Änderungen auf Trac oder der 5.4.2-Dokumentations-Seite einsehen.
WordPress 5.4.2 ist ein kurzzyklisches Sicherheits- und Wartungs-Release. Die nächste Hauptversion wird die Version 5.5.
Lade WordPress 5.4.2 zum Installieren herunter oder gehe zu Dashboard → Aktualisierungen und klicke auf „Jetzt aktualisieren“. Websites, die automatische Hintergrund-Updates unterstützen, beginnen bereits automatisch zu aktualisieren.
Danke auch an die vielen anderen Menschen, die geholfen haben, WordPress 5.4.2 zu entwickeln:
Andrea Fercia, argentite, M Asif Rahman, Jb Audras, Ayesh Karunaratne, bdcstr, Delowar Hossain, Rob Migchels, donmhico, Ehtisham Siddiqui, Emilie LEBRUN, finomeno, garethgillman, Giorgio25b, Gabriel Maldonado, Hector F, Ian Belanger, Aaron Jorbin, Mathieu Viet, Javier Casares, Joe McGill, jonkolbert, Jono Alderson, Joy, Tammie Lister, Kjell Reigstad, KT, markusthiel, Mayank Majeji, Mel Choyce-Dwan, mislavjuric, Mukesh Panchal, Nikhil Bhansi, oakesjosh, Dominik Schilling, Arslan Ahmed, Peter Wilson, Carolina Nymark, Stephen Bernhardt, Sam Fullalove, Alain Schlesser, Sergey Biryukov, skarabeq, Daniel Richards, Toni Viemerö, suzylah, Timothy Jacobs, TeBenachi, Jake Spurlock und yuhin.