WordPress 6.0.3 Sicherheits-Release

Am 17. Oktober wurde WordPress 6.0.3 veröffentlicht. Dabei handelt es sich um einen Sicherheits-Release, weshalb empfohlen wird, dass ihr eure Installationen schnellstmöglich aktualisiert. Alle Versionen seit WordPress 3.7 haben ein Update erhalten.

WordPress 6.0.3 ist ein kurzzyklischer Release, der nächste Major-Release ist WordPress 6.1, der für den 1. November geplant ist.

Wenn eure Websites automatische Hintergrund-Updates aktiviert haben, könnte die neue Version bereits bei euch live sein.

Manuell könnt ihr das Update im Backend unter »Dashboard« › »Aktualisierungen« anstoßen, und wenn ihr eine neue Installation erstellen möchtet, könnt ihr die WordPress-Version als Zip-Datei von de.wordpress.org herunterladen.

Mehr Informationen zu dem Release gibt es auf der HelpHub-Seite.

Sicherheits-Updates in dem Release

Das Security-Team möchte den folgenden Personen für das verantwortungsbewusste Melden der Sicherheitslücken danken, die das Schließen der folgenden Lücken in diesem Release ermöglicht haben.

  • Stored XSS über die wp-mail.php (Beitrag per E-Mail schreiben) – Toshitsugu Yoneyama von Mitsui Bussan Secure Directions, Inc. via JPCERT
  • Open Redirect in `wp_nonce_ays` – devrayn
  • E-Mail-Adresse des Absenders wird in der wp-mail.php angezeigt – Toshitsugu Yoneyama von Mitsui Bussan Secure Directions, Inc. via JPCERT
  • Mediathek, Reflected XSS via SQLi – Ben Bidner vom WordPress-Security-Team und Marc Montpas von Automattic haben das Problem unabhängig voneinander entdeckt
  • CSRF in wp-trackback.php – Simon Scannell
  • Stored XSS über den Customizer – Alex Concha vom WordPress-Security-Team
  • Rückgängig machen geteilter User-Instanzen, die mit 50790 eingeführt wurden – Alex Concha und Ben Bidner vom WordPress-Security-Team
  • Stored XSS im WordPress-Core über die Kommentar-Bearbeitung – Third-Party-Security-Audit und Alex Concha vom WordPress-Security-Team
  • Exposition von Daten über die REST-Terms/-Tags-Endpunkte – Than Taintor
  • Inhalte von Multipart-E-Mails werden geleaked – Thomas Kräftner
  • SQL-Injection wegen ungenügender Sanitization in `WP_Date_Query` – Michael Mazzolini
  • RSS-Widget: Stored XSS-Problem – Third-Party-Security-Audit
  • Stored XSS im Suche-Block – Alex Concha vom WP-Security-Team
  • Beitragsbild-Block: XSS-Problem – Third-Party-Security-Audit
  • RSS-Block: Stored XSS-Problem – Third-Party-Security-Audit
  • Fix Widget-Block-XSS – Third-Party-Security-Audit

Danke

Dieser Release wurde von Alex Concha, Peter Wilson, Jb Audras und Sergey Biryukov geleitet. Danke an Jonathan Desrosiers, Jorge Costa, Bernie Reiter und Carlos Bravo für ihre Hilfe bei Paket-Updates.

WordPress 6.0.3 wäre ohne die Mithilfe der folgenden Personen nicht möglich gewesen.

Alex Concha, Colin Stewart, Daniel Richards, David Baumwald, Dion Hulse, ehtis, Garth Mortensen, Jb Audras, John Blackbourn, John James Jacoby, Jonathan Desrosiers, Jorge Costa, Juliette Reinders Folmer, Linkon Miyan, martin.krcho, Matias Ventura, Mukesh Panchal, Paul Kevan, Peter Wilson, Robert Anderson, Robin, Sergey Biryukov, Sumit Bagthariya, Teddy Patriarca, Timothy Jacobs, vortfu und Česlav Przywara.