WordPress 4.2.1 schließt kritische Sicherheitslücke
WordPress bietet seit gestern das Update auf WordPress 4.2.1 an, welche eine sehr kritische Lücke in dem beliebten CMS schließt, womit sich mit der Kommentar-Funktion die komplette WordPress Installation übernehmen lässt. Mit dem Update selbst werden nur 4 PHP Dateien getauscht. Ist die Funktion des automatischen Updates in WordPress deaktiviert, so sollte das WordPress Update auf 4.2.1 dringend manuell installiert werden. Derzeit sind von dieser kritischen Sicherheitslücke Millionen WordPress Installationen betroffen.
Die Lücke ermöglicht einem Angreifer via Cross-Site Scripting die Rechte eines Administrators zu bekommen. Dafür reicht ein speziell formatierter Kommentar aus, der den böswilligen Code in die WordPress CMS Seite einschleust und damit bestehende Passwörter ändert oder neue Benutzer mit Admin-Rechten anlegt.
Wer sein WordPress nicht aktualisieren kann, sollte die Kommentar-Funktion deaktivieren (im Adminbereich auf Einstellungen => Diskussionen und alle 3 Häkchen entfernen bei Standardeinstellungen für Beiträge)
WordPress Installationen, die alternative Kommentar-Plugins nutzen (bspw. Disqus), sind nicht betroffen.
Changelog WordPress: https://codex.wordpress.org/Version_4.2.1
