Erneut innerhalb eines recht kurzen Zeitraums rollt WordPress Org ein neues Release für sein CMS/Blog-System aus. User, die die automatische Update-Funktion deaktiviert haben, sollten schnell das Update von Hand anstoßen.
Auf der WordPress-Seite heißt es eher lapidar und ist sehr relativierend formuliert:
„Es handelt sich um eine Remote Code Execution-Sicherheitslücke, die im Kern nicht direkt ausnutzbar ist. Das Sicherheitsteam ist jedoch der Meinung, dass in Verbindung mit bestimmten Plugins, insbesondere in Multisite-Installationen, ein hohes Gefährdungspotenzial besteht.“
https://wordpress.org/news/2023/12/wordpress-6-4-2-maintenance-security-release/
Mehrere Onlinemedien berichten, dass es unter Umständen gelänge, beliebigen Code auszuführen, was man dann schon wieder kritisch nennen würde. Dabei müsste ein Hacker eine separate Object Injection-Schwachstelle finden, vielleicht in einem Plugin. Im WordPress-Code. Wordfence berichtete Details über die Voraussetzungen, unter denen ein Angriff gelingen kann, der von einigen Methoden und Eigenschaften auf Codeebene herrührt. Genannt werden da die “on_destroy-” und “bookmark_name”-Eigenschaften.
Daher sollte jeder WordPress-Seitenbetreiber sicherstellen, die Lücke zu schließen und die Releaseummer zu überprüfen.
Eine ewig wiederkehrende und -lehrende Geschichte …
Populäre standardisierte Lösungen haben den Vorteil, dass ein weitgreifendes, auch von der Community getragenes Wissen entwickelt werden kann, auf das unkompliziert verzweifelte Anwender zurückgreifen können, ohne erheblichen Aufwand und Kosten zu verursachen. Und das rund um die Uhr.
Gravierender Nachteil ist aber, dass weniger gut gesinnte Kräfte eine erhebliche Wirkungen erzielen können, wenn eine mögliche Schwachstelle identifiziert und mit maligner Eingriffstechnik schädlich nutzbar gemacht werden konnte. Diese Schadalgorithmen können ebenso standardisiert überall (semi-)automatisiert zum Einsatz kommen.
Wer die Muße hat, seine täglichen Log-Dateien auf Hinweise diesbezüglich zu inspirieren, wird feststellen, dass das Abtasten auf WordPress-Installationen massenhaft täglich geschieht und die theoretischen Risiken praktisch immer gegenwärtig sind.
Sicherheits-Updates dieser populären Plattform sind daher unbedingt ernstzunehmen.
Ein besonderer Aspekt sind die anstöpselbaren Add-Ons, die zügig Kleinstanwendungen integrieren können. Grundsätzlich sehr kreativer Ansatz, der aber wieder neue Schwachstellen in ein System potentiell einbringt. Daher ist aus Sicherheitsgründen immer genau zu prüfen, ob solch ein Plugin tatsächlich benötigt wird.
Die vermeintliche einfache Bedienung richtet den Fokus verstärkt auf eine Zielgruppe, die unkompliziert und ohne größeres Fachwissen loslegen möchte. Da werden mögliche Gefahren verdrängt und zu wenig beachtet.
Grundsätzlich würde ich gerne mit Honigtöpfen experimentieren, spiele aber mit diesem CMS auch aus o.g. Gründen nicht so gern herum.
OscarTheFish(p@k)