Die kostenlose Blogsoftware WordPresse erhielt das Sicherheitsupdate 5.4.2. Neben 22 Fehlerbehebungen wurden auch 6 Sicherheitslücken geschlossen. Die Entwickler haben auch für alle älteren Versionen ab 3.7, Updates veröffentlicht.

Wußten Sie, dass sie WordPress bei Purwin-IT, in der aktuellen deutschen Version vorkonfiguriert, bestellen können?

WordPress 5.4.2 Sicherheitsfixes

• Sam Thomas (jazzy2fives) für das Aufdecken einer XSS-Schwachstelle, durch die authentifizierte Benutzer mit geringen Rechten JavaScript zu Beiträgen im Block-Editor hinzufügen können.
• Luigi – (gubello.me) für das Aufspüren einer XSS-Schwachstelle, durch die authentifizierte Benutzer mit Upload-Berechtigungen JavaScript zu Mediendateien hinzufügen können.
• Ben Bidner vom WordPress-Sicherheitsteam für das Aufdecken eines offenen Weiterleitungs-Problems in wp_validate_redirect().
• Nrimo Ing Pandum für das Auffinden einer authentifizierten XSS-Schwachstelle bei den Theme-Uploads.
• Simon Scannell von RIPS Technologies für das Aufdecken einer Schwachstelle, bei der die set-screen-option von Plugins zweckentfremdet werden kann, was zu einer Erweiterung der Berechtigungen führt.
• Carolina Nymark für die Entdeckung einer Schwachstelle, durch die Kommentare von passwortgeschützten Beiträgen und Seiten unter bestimmten Bedingungen angezeigt werden können.

WordPress 5.4.2 wesentliche Bugfixes

• Fehlerkorrektur, dass Spammer unmoderierte Kommentare nicht teilen können
• Korrektur des WordPress Favicon im Dark Mode in Browsern
• Korrekte Reihenfolge der Überschriften in der Über Uns Seite
• Korrektur von Buttons bei der Ansicht auf kleinen Displays
• diverse Korrekturen in den Themes Twenty Twenty und Twenty Ninteen, wie die Icons für TikTok und ResearchGate, Menüs, Buttons, Links und Icons
• uvm.

WordPress offizielle Ankündigung 5.4.2: https://de.wordpress.org/2020/06/wordpress-5-4-2-sicherheits-und-wartungs-release/