WordPress 5.8.3 Sicherheits-Release


Am 6. Januar wurde WordPress 5.8.3 veröffentlicht. Dabei handelt es sich um einen Sicherheits-Release, weshalb ihr eure Websites möglichst schnell aktualisieren solltet. Es wurden für alle Versionszweige seit WordPress 3.7 Updates bereitgestellt.

WordPress 5.8.3 ist ein kurzzyklischer Release, die nächste Major-Version wird WordPress 5.9, die sich bereits im Release-Candidate-Zustand befindet.

Ihr könnt das Update auf die neue Version im Backend über DashboardAktualisierungen ausführen. Wenn eure Website automatische Hintergrund-Updates unterstützt, könnte das Update bei euch bereits installiert sein.

Sicherheits-Updates

WordPress 3.7 bis 5.8 sind von drei beziehungsweise vier Sicherheitslücken betroffen, weshalb nicht nur für den 5.8-Zweig ein Update veröffentlicht wurde, sondern auch für alle älteren Zweige bis 3.7. Die folgenden Sicherheitslücken wurden geschlossen:

  • XSS-Lücke durch Post-Slugs. Danke an Karim El Ouerghemmi und Simon Scannell von SonarSource fürs Melden.
  • Object-Injection in einigen Multisite-Installationen. Danke an Simon Scannell von SonarSource fürs Melden.
  • SQL-Injection in WP_Query. Danke an ngocnb und khuyenn von GiaoHangTietKiem JSC für das Arbeiten mit Trend Micro Zero Day Initiative um die Lücke zu melden.
  • SQL-Injection in WP_Meta_Query (nur für die Versionen 4.1–5.8 relevant). Danke an Ben Bidner vom WordPress-Security-Team für das Melden der Lücke.

Danke an alle für das verantwortungsvolle Melden der Sicherheitslücken. Dadurch hat das Security-Team Zeit gehabt, die Probleme zu beheben, bevor die Lücken öffentlich wurden. Danke an das Security-Team für die Fixes in WordPress.

Mehr Informationen zum Release gibt es auf der 5.8.3-HelpHub-Seite.

Danke

Der 5.8.3-Release wurde von @desrosj und @circlecube geleitet.

Zusätzlich zu den Security-Researchern und den Release-Leads, danke an alle, die WordPress 5.8.3 möglich gemacht haben:

Alex Concha, Dion Hulse, Dominik Schilling, ehtis, Evan Mullins, Jake Spurlock, Jb Audras, Jonathan Desrosiers, Ian Dunn, Peter Wilson, Sergey Biryukov, vortfu und zieladam.