Im Artikel „WordPress lässt Lücke ungepatcht“ beschrieben wir ein Sicherheitsproblem, das eine Software-Security-Firma vor etwas mehr als einem halben Jahr an das WordPress-Security-Team gemeldet hat: Wenn jemand einen Autor-Account nutzen kann, kann man durch gezielte Manipulation der Datenbank in Zusammenhang mit Vorschaubildern („Thumbs“) Dateien löschen, die sich außerhalb des Mediaverzeichnisses befinden.
So könnte man etwa die wp-config.php-Datei entfernen und WordPress zu einer Neuinstallation zwingen. Damit wäre es möglich eine Datenbankverbindung anzugeben, die man als Angreifer selbst unter Kontrolle hat. So übernimmt man dann den Serveraccount, auf dem WordPress läuft.
Diese Privacy Escalation ist aber nur für User möglich, die Zugang als Autor haben, also mindestens die Rechte besitzen, Mediendateien hochzuladen, zu löschen und zu bearbeiten.
In den letzten 24 Stunden hat WordPress nun eine Version 4.9.7 ausgerollt, so dass viele Installationen heute ein automatisches Update vermeldet haben. Daneben sind nach Angaben verschiedener Onlinemedien weitere siebzehn Bugs behoben worden.
Wer in WordPress die automatische Updatefunktion deinstalliert hat, sollte nun die Routine selbst anwerfen und das System aus Sicherheitsgründen auf den neusten Stand bringen.
Als neuen Funktion, die auch für reine Bediener interessant sein könnte, erlaubt WordPress 4.9.7 nun im Adminmenü der Widgets, basale HTML-Tags in Sidebar-Descriptions zu verwenden.
