WordPress 5.2.4 ist jetzt verfügbar und behebt 6 Sicherheitslücken. Die WordPress-Versionen 5.2.3 und früher sind von diesen Schwachstellen betroffen, die mit der Version 5.2.4 behoben wurden. Aktualisierte Versionen von WordPress 5.1 und früher sind ebenfalls für alle Benutzer verfügbar, die noch nicht auf 5.2 aktualisiert haben.
Danke an die Menschen, die folgende Probleme gefunden und offengelegt haben:
- Evan Ricafort: Problem, bei dem gespeichertes XSS (Cross-Site-Scripting) über den Customizer hinzugefügt werden kann.
- J.D. Grimes: Methode zum Anzeigen nicht authentifizierter Beiträge.
- Weston Ruter: Ein Weg, gespeichertes XSS zu erstellen, um Javascript in Style-Tags einzubauen.
- David Newman: Hervorhebung einer Methode zur Beschädigung des Caches von JSON GET-Requests über den Vary: Origin Header.
- Eugene Kolodenker: Server Side Request Forgery (SSRF) bei der URL-Validierung.
- Ben Bidner vom WordPress Security Team: Probleme im Zusammenhang mit der Referrer-Validierung im Admin.
Danke an alle, die diese Sicherheitslücken verantwortungsvoll gemäß dem responsible disclosure gemeldet haben.
Du kannst die vollständige Liste der Änderungen auf Trac oder der 5.2.4-Dokumentations-Seite einsehen.
WordPress 5.2.4 ist ein kurzzyklisches Sicherheits-Release. Die nächste Hauptversion wird WordPress 5.3 sein.
Lade WordPress 5.2.4 herunter oder gehe zu Dashboard Aktualisierungen und klicke auf „Jetzt aktualisieren“. Websites, die automatische Hintergrund-Updates unterstützen, beginnen bereits automatisch zu aktualisieren.
Danke auch an diejenigen, die neben den oben genannten, zur Entwicklung von WordPress 5.2.4 beigetragen haben:
Aaron D. Campbell, darthhexx, David Binovec, Jonathan Desrosiers, Ian Dunn, Jeff Paul, Nick Daugherty, Konstantin Obenland, Peter Wilson, Sergey Biryukov, Stanimir Stoyanov, Garth Mortensen, vortfu, Weston Ruter, Jake Spurlock und Alex Concha.