WordPress 5.4.2 Sicherheits- und Wartungs-Release

WordPress 5.4.2 wurde veröffentlicht. Dieses Sicherheits- und Wartungs-Release bringt 23 Fixes, bzw. Verbesserungen und behebt 6 Sicherheitslücken. Es wird empfohlen, möglichst zeitnah zu aktualisieren – für alle WordPress-Versionen ab 3.7 wurden entsprechende Sicherheits-Updates veröffentlicht.

Die WordPress-Versionen 5.4.1 und älter sind von den folgenden Schwachstellen betroffen, die mit der Version 5.4.2 behoben werden.

Danke an

  • Sam Thomas (jazzy2fives) für das Aufdecken einer XSS-Schwachstelle, durch die authentifizierte Benutzer mit geringen Rechten JavaScript zu Beiträgen im Block-Editor hinzufügen können.
  • Luigi – (gubello.me) für das Aufspüren einer XSS-Schwachstelle, durch die authentifizierte Benutzer mit Upload-Berechtigungen JavaScript zu Mediendateien hinzufügen können.
  • Ben Bidner vom WordPress-Sicherheitsteam für das Aufdecken eines offenen Weiterleitungs-Problems in wp_validate_redirect().
  • Nrimo Ing Pandum für das Auffinden einer authentifizierten XSS-Schwachstelle bei den Theme-Uploads.
  • Simon Scannell von RIPS Technologies für das Aufdecken einer Schwachstelle, bei der die set-screen-option von Plugins zweckentfremdet werden kann, was zu einer Erweiterung der Berechtigungen führt.
  • Carolina Nymark für die Entdeckung einer Schwachstelle, durch die Kommentare von passwortgeschützten Beiträgen und Seiten unter bestimmten Bedingungen angezeigt werden können.

Danke an alle, die diese Sicherheitslücken verantwortungsvoll gemäß dem responsible disclosure gemeldet haben.

Ein spezielles Wartungs-Update ist außerdem für die Versionen 5.1, 5.2 und 5.3 erfolgt, weitere Informationen hierzu findest du in den entsprechenden Entwickler-Hinweisen. Du kannst die vollständige Liste der Änderungen auf Trac oder der 5.4.2-Dokumentations-Seite einsehen.

WordPress 5.4.2 ist ein kurzzyklisches Sicherheits- und Wartungs-Release. Die nächste Hauptversion wird die Version 5.5.

Lade WordPress 5.4.2 zum Installieren herunter oder gehe zu Dashboard → Aktualisierungen und klicke auf „Jetzt aktualisieren“. Websites, die automatische Hintergrund-Updates unterstützen, beginnen bereits automatisch zu aktualisieren.

Danke auch an die vielen anderen Menschen, die geholfen haben, WordPress 5.4.2 zu entwickeln:

Andrea FerciaargentiteM Asif RahmanJb AudrasAyesh KarunaratnebdcstrDelowar HossainRob MigchelsdonmhicoEhtisham SiddiquiEmilie LEBRUNfinomenogarethgillmanGiorgio25bGabriel MaldonadoHector FIan BelangerAaron JorbinMathieu VietJavier CasaresJoe McGilljonkolbertJono AldersonJoyTammie ListerKjell ReigstadKTmarkusthielMayank MajejiMel Choyce-DwanmislavjuricMukesh PanchalNikhil BhansioakesjoshDominik SchillingArslan AhmedPeter WilsonCarolina NymarkStephen BernhardtSam FullaloveAlain SchlesserSergey BiryukovskarabeqDaniel RichardsToni ViemerösuzylahTimothy JacobsTeBenachiJake Spurlock und yuhin.