09. November 2023
WordPress-Update schließt acht Sicherheitslücken
Mit der neuesten Version des weit verbreiteten CMS WordPress 6.3.2 schließen die Entwickler acht Sicherheitslücken. Alle acht Schwachstellen wurden mit dem Bedrohungsgrad „mittel“ eingestuft.
Nach einer erfolgreichen Attacke können Angreifer beispielsweise Kommentare in geschützten Beiträgen einsehen oder DoS-Attacken durchführen. Zum Thema DoS- und DDoS-Attacken haben wir bereits einen ausführlichen Wissensartikel veröffentlicht. Dort gehen wir unter anderem auch darauf ein, wie Sie sich vor solchen Angriffen schützen können.
Um Angriffen vorzubeugen, sollten Sie Ihre WordPress-Installation auf dem neuesten Stand halten und regelmäßig die Sicherheitsupdates installieren.
Außerdem gibt es neue Sicherheitspatches für das tagDiv-Composer-Plug-in und das Newspaper Theme. Sicherheitsforscher von Sucuri berichten von über 17.000 infizierten Websites im September 2023. Angreifer sollen eine Lücke im tagDiv-Composer-Plug-in und dem Newspaper Theme für Attacken mit der Balada-Malware ausnutzen.
Angriffe mit dieser Malware werden bereits seit 2017 registriert. Diese Kampagne ist leicht erkennbar an ihrer Vorliebe für String.fromCharCode-Verschleierung, der Verwendung von frisch registrierten Domain-Namen, die bösartige Skripte auf zufälligen Subdomains hosten sowie an Weiterleitungen zu verschiedenen Betrugsseiten. Darunter fallen beispielsweise gefälschte technische Support-Angebote, betrügerische Lotteriegewinne und neuerdings auch irreführende Push-Benachrichtigungen.
Das WordPress-Update
Bei der aktuellen Version WordPress 6.3.2 werden keine neuen Features und Funktionen veröffentlicht. Der Fokus liegt auf der Optimierung des Systems und der Sicherheit.
Maintenance Update
Dieses Wartungsupdate umfasst 19 Fehlerbehebungen im Kern sowie 22 Fehlerbehebungen für den Block-Editor.
Welche Bugs mit dem Update im Detail behoben werden, wird in der Ankündigung zum Release aufgeführt.
Sicherheitsupdate
Die folgenden acht Sicherheitslücken wurden gemeldet und mit dem aktuellen Update geschlossen:
- potenzielle Offenlegung von Benutzer-E-Mail-Adressen
- RCE POP Chains Sicherheitslücke
- XSS-Schwachstelle in einem Beitragsnavigationsblock
- ein Problem, bei dem Kommentare zu privaten Beiträgen an andere Benutzer weitergegeben werden könnten
- Möglichkeiten, wie angemeldete Benutzer beliebige Shortcodes ausführen können
- XSS-Schwachstelle im Bildschirm für Anwendungspasswörter
- XSS-Schwachstelle im Fußnotenblock
- Cache-Vergiftungs-DoS-Schwachstelle
Wie Sie WordPress aktualisieren können, beschreiben die Entwickler in der WordPress-Dokumentation.
Wir empfehlen grundsätzlich, Ihre CMS, Shopsysteme und Anwendungen auf dem aktuellen Stand zu halten und regelmäßig zu prüfen, ob neue Sicherheitsupdates verfügbar sind.