WordPress 4.7.5 wurde heute veröffentlicht. Da es sich dabei um ein Sicherheits-Release handelt, wird empfohlen, alle Versionen kleiner als 4.7.5 umgehend zu aktualisieren.
WordPress 4.7.4 und älter sind von sechs Sicherheitslücken betroffen:
- Mangelhafte Weiterleitungs-Validierung in der HTTP-Klasse. Gemeldet von Ronni Skansing.
- Eine ungenaue Handhabung von Daten-Werten der Post-Meta in der XMPL-RPC-API. Gemeldet von Sam Thomas.
- Fehlerhafte Nutzerrechte-Überprüfung von Post-Meta-Daten in der XMPL-RPC-API. Gemeldet von Ben Bidner, Teil des WordPress Security Teams.
- Eine Schwachstelle – Cross-Site-Request-Forgery (CRSF) – wurde im Dateisystem des Anmelde-Dialogs (credentials dialog) entdeckt. Gemeldet von Yorick Koster.
- Eine Schwachstelle – Cross-Site-Scripting (XSS) – wurde beim Versuch sehr große Dateien hochzuladen entdeckt. Gemeldet von Ronni Skansing.
- Eine weitere Cross-Site-Scripting-Lücke (XSS) wurde im Zusammenhang mit dem Customizer entdeckt. Gemeldet von Weston Ruter, Teil des WordPress Security Teams.
Danke an alle, die das verantwortlich gemäß dem responsible disclosure gemeldet haben.
Zusätzlich zu den bereits genannten Sicherheitslücken enthält WordPress 4.7.5 drei Bug-Fixes. Weitere Informationen findest du in den release notes oder in dieser Liste der Änderungen.
Du kannst deine WordPress-Installation im Adminbereich mit Klick auf „Dashboard“, dann auf „Aktualisierungen“ starten. Für WordPress-Websites, die das automatische Aktualisieren aktiviert haben, werden die Updates bereits ausgerollt.
Danke an alle, die bei der Entwicklung von WordPress 4.7.5 mitgewirkt haben.