{"id":178543,"date":"2016-06-22T00:13:00","date_gmt":"2016-06-21T22:13:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=178543"},"modified":"2016-06-22T17:35:20","modified_gmt":"2016-06-22T15:35:20","slug":"wordpress-sicherheitslcke-im-core","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/06\/22\/wordpress-sicherheitslcke-im-core\/","title":{"rendered":"WordPress: Sicherheitslücke im Core"},"content":{"rendered":"

\"\"Gerade habe ich vom Wordfence-Sicherheitsteam eine Meldung bekommen, dass man eine in WordPress bestehende Sicherheitsl\u00fccke \u00f6ffentlich gemacht hat. Das WordPress-Core-Team hat darauf hin am 21. Juni 2016 eine Aktualisierung des WordPress Core auf Version 4.5.3 bereitgestellt.<\/p>\n

<\/p>\n

Die Details zur Sicherheitsl\u00fccke finden sich im Wordfence-Blog-Beitrag Vulnerability in WordPress Core: Bypass any password protected post. CVSS Score: 7.5 (High)<\/a>. Die Sicherheitsl\u00fccke betrifft Posts, die durch ein Passwort gesch\u00fctzt sind. Damit erhalten nur Nutzer, die ein Kennwort besitzen, Zugriff auf diesen Blog-Beitrag.<\/p>\n

Von Wordfence wurde am 3. Mai 2016 eine Sicherheitsl\u00fccke an das WordPress Core-Team gemeldet. Die Sicherheitsl\u00fccke erm\u00f6glicht Nutzern den Kennwortschutz von WordPress auszuhebeln und Zugriff auf kennwortgesch\u00fctzte Webseiten zu erlangen. Dies erm\u00f6glicht Angreifern Attacken, wenn die Benutzerregistrierung freigeschaltet ist (hier im Blog wird das nicht verwendet).<\/p>\n

Wordfence stuft die Sicherheitsl\u00fccke als hoch (Score 7,5) ein \u2013 und das WordPress Core-Team hat bereits gestern Abend das Maintenance Release f\u00fcr WordPress Version 4.5.3<\/a>\u00a0freigegeben. Dieses fixt nicht nur die Sicherheitsl\u00fccke, sondern behebt auch 17 Fehler der Versionen 4.5, 4.5.1 und 4.5.2. Dummerweise steht bisher noch keine deutsche \u00dcbersetzung dieser WordPress-Version zur Verf\u00fcgung.<\/del>\u00a0Hier hat sich WordPress 4.5.2 die Nacht wohl selbst\u00e4ndig auf 4.5.3 aktualisiert. In einem zweiten Blog musste ich das Upgrade manuell ansto\u00dfen, lief aber auch problemlos durch. Wer das WordPress Premium Plug-in einsetzt, ist seit dem 3. Mai 2016 vor solchen Attacken gesch\u00fctzt.<\/p>\n","protected":false},"excerpt":{"rendered":"

Gerade habe ich vom Wordfence-Sicherheitsteam eine Meldung bekommen, dass man eine in WordPress bestehende Sicherheitsl\u00fccke \u00f6ffentlich gemacht hat. Das WordPress-Core-Team hat darauf hin am 21. Juni 2016 eine Aktualisierung des WordPress Core auf Version 4.5.3 bereitgestellt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1574],"tags":[1782,4349],"class_list":["post-178543","post","type-post","status-publish","format-standard","hentry","category-wordpress","tag-sicherheitslucke","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/178543","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=178543"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/178543\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=178543"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=178543"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=178543"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}