Sicherheitsupdate WordPress 4.7.2

Gestern wurde das Sicherheitsupdate WordPress 4.7.2 veröffentlicht. Die meisten WordPress-Installationen werden sich wohl automatisch aktualisieren. Trotzdem sollte jeder Administrator überprüfen, ob die Installation ordnungsgemäß aktualisiert wurde.

Es wurden insgesamt 3 Sicherheitslücken beseitigt.

In der Tabelle Post List der Datenbank wurde eine Cross-Site-Scripting-Lücke beseitigt.

In WP_Query wurde eine Schwachstelle beseitigt, die WordPress für eine SQL Injection anfällig machte. Das ist eigentlich kein Problem des Cores. Die Schwachstelle konnte aber bei einem unsicher programmierten Plugin oder Theme ausgenutzt werden.

Die dritte Sicherheitslücke betrifft das Backend. Hier konnten Nutzer ohne Berechtigungen Taxonomien hinzufügen.

Weitere Informationen

Update 2.2.2017

Die Sicherheitslücken, die mit dieser Version gepatcht wurden, waren wohl doch gefährlicher als die Beschreibung vermuten lässt. Wenn das Update noch nicht eingespielt ist, dann wird es höchste Zeit.

Weitere Informationen dazu bei Heise online.

Update 7.2.2017

Die Sicherheitslücken, die mit 4.7.2 beseitigt wurden, scheinen wirklich gravierend zu sein. Google verschickt Meldungen über die Search Console, wenn es meint, eine alte WordPress-Version gefunden zu haben. Wer noch kein Update durchgeführt hat, der sollte das jetzt möglichst schnell nachholen.

Ich habe solch eine Meldung auch bekommen und das obwohl ich das Update natürlich sofort nach dem Erscheinen durchgeführt hatte. Ich vermute, dass Google einfach nach der Versionsnummer von WordPress in der HTML-Ausgabe von WordPress schauen wird. Ich benutze auf meiner Seite einen Cache, der die HTML-Ausgabe relativ lange zwischenspeichert. Das ist allerdings kein Grund zur Panik. Die anfälligen PHP-Dateien auf dem Server sind ja schon lange ausgetauscht.

Update 8.2.2017

Wie Heise Security berichtet, wird inzwischen die Sicherheitslücke im REST-API ausgenutzt. Es werden aktiv Seiten gesucht, die noch WordPress 4.7 oder 4.7.1 installiert haben und es wird offenbar sehr erfolgreich versucht, die Seiten zu übernehmen.