WordPress 4.7.3 Sicherheits- und Wartungs-Release

Veröffentlicht am von . Abgelegt unter Releases, Sicherheit.

Heute wurde WordPress 4.7.3 veröffentlicht. Dabei handelt es sich um einen Sicherheits-Release für alle vorherigen Versionen, weshalb ein Update stark empfohlen wird.

WordPress 4.7.2 und früher sind von sechs Sicherheitslücken betroffen:

  1. Cross-Site-Scripting-Lücke über Metadaten von Medien-Dateien. Gemeldet von Chris Andrè Dale, Yorick Koster und Simon P. Briggs.
  2. Control-Zeichen können die URL-Validierung für Redirects austricksen. Gemeldet von Daniel Chatfield.
  3. Administratoren können ungewollte Dateien über die Löschfunktion für Plugins entfernen. Gemeldet von xuliang.
  4. Cross-Site-Scripting-Lücke via Video-URLs in YouTube-Embeds. Gemeldet von Daniel Cid.
  5. Cross-Site-Scripting-Lücke über Namen von Taxonomie-Termen. Gemeldet von Delta.
  6. Cross-Site-Request-Forgery in Press This, was zu exzessiver Nutzung von Server-Ressourcen führt. Gemeldet von Sipke Mellema.

Vielen Dank für den verantwortungsbewussten Umgang mit dem Wissen über die Sicherheitslücken.

Zusätzlich zu den Sicherheits-Fixes enthält WordPress 4.7.3 noch 39 Bugfixes. Für mehr Infos könnt ihr euch die Release-Notes oder die Liste aller Änderungen anschauen.

Falls ihr automatische Updates deaktiviert habt, oder sie noch nicht bei euch angekommen sind, könnt ihr einfach über das Backend auf die neue Version aktualisieren. Herunterladen könnt ihr euch die neue Version direkt hier von der Startseite.

Danke an alle, die zu 4.7.3 beigetragen haben: Aaron D. Campbell, Adam Silverstein, Alex Concha, Andrea Fercia, Andrew Ozz, asalce, blobfolio, bonger, Boone Gorges, Boro Sitnikovski, Brady Vercher, Brandon Lavigne, Bunty, ccprog, chetansatasiya, David A. Kennedy, David Herrera, Dhanendran, Dion Hulse, Dominik Schilling (ocean90), Drivingralle, Ella Van Dorpe, Gary Pendergast, Ian Dunn, Ipstenu (Mika Epstein), James Nylen, jazbek, Jeremy Felt, Jeremy Pry, Joe Hoyle, Joe McGill, John Blackbourn, John James Jacoby, Jonathan Desrosiers, Kelly Dwan, Marko Heijnen, MatheusGimenez, Mike Nelson, Mike Schroder, Muhammet Arslan, Nick Halsey, Pascal Birchler, Paul Bearne, pavelevap, Peter Wilson, Rachel Baker, reldev, Robert O’Rourke, Ryan Welcher, Sanket Parmar, Sean Hayes, Sergey Biryukov, Stephen Edgar, triplejumper12, Weston Ruter und wpfo.