![\"\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2014\/07\/wp_thumb.jpg\")
Kleine Information an die Betreiber von WordPress-Instanzen. Ich hoffe, ihr seid auf der aktuellen WordPress-Version, denn in \u00e4lteren WordPress-Versionen gibt es eine Cross-Site-Scripting-Schwachstelle in WordPress-Core die nicht authentifizierte erm\u00f6glicht. Mir wurde zudem gerade WordPress 6.5.3 als Update angeboten. Und wer LightSpeed Cache als Plugin nutzt, sollte dringend updaten.<\/p>\n
<\/p>\n
Mir ist der nachfolgende Tweet bez\u00fcglich der Schwachstelle CVE-2024-4439 (Unauthenticated Stored Cross-Site Scripting Vulnerability) im WordPress Core \u00e4lterer Versionen untergekommen. Die Schwachstelle kann sowohl von nicht authentifizierten als auch von authentifizierten Benutzern unter verschiedenen Umst\u00e4nden ausgenutzt werden, um b\u00f6sartige Web-Skripte in Seiten einzuschleusen.<\/p>\n
Betroffene Versionen sind: 6.5 – 6.5.1, 6.4 – 6.4.3, 6.3 – 6.3.3, 6.2 – 6.2.4, 6.1 – 6.1.5, 6.0 – 6.0.7 – der Blog hier l\u00e4uft bereits seit einiger Zeit unter Version 6.5.2. Details zur Schwachstelle lassen sich hier<\/a> und bei WordFence nachlesen.<\/p>\n Gerade ist mir WordPress 6.5.3<\/a> als Update angeboten worden (verf\u00fcgbar seit 7. Mai 2024). WordPress 6.5.3 ist eine kurzzyklische Wartungsversion, die 12 Fehlerbehebungen im Core und 9 Fehlerbehebungen f\u00fcr den Block-Editor enth\u00e4lt. Wie es ausschaut, werden mit dieser Version keine Sicherheitsl\u00fccken geschlossen (das Release hat also mit obiger Warnung nichts zu tun – h\u00e4tte die Blogs auch nicht getroffen, da ich keine Avatare zulasse). Hier hat das Update bei den Blogs \u00fcbrigens problemlos geklappt.<\/p>\n Erg\u00e4nzung:<\/strong> Ich trage es mal nach, weil ich inzwischen die Referenz wieder gefunden habe. In WordPress besteht die M\u00f6glichkeit, das Plugin LightSpeed Cache zu verwenden (hatte ich jahrelang hier in den Blogs, musste es aber wegen Problemen – verz\u00f6gerte Abrufe von bis zu 30 Sekunden – vor einiger Zeit rauswerfen).<\/p>\n Nun lese ich bei den Kollegen von Bleeping Computer<\/a>, dass Angreifer eine Schwachstelle in diesem Plugin verwenden, um\u00a0auf WordPress-Websites mit einer veralteten Version des LiteSpeed-Cache-Plugins Administrator-Benutzer anzulegen und die Kontrolle \u00fcber die Websites zu erlangen.<\/p>\n Betroffen sind WordPress-Websites mit \u00e4lteren Varianten des Plugins vor der Version 5.7.0.1 . Das Sicherheitsteam von Automattic, WPScan, hat im April verst\u00e4rkte Aktivit\u00e4ten von Bedrohungsakteuren bemerkt, die WordPress-Seiten auf diese Plugin-Versionen scannen und kompromittieren. Die \u00e4lteren Plugins weisen eine Cross-Site-Scripting-Schwachstelle (CVE-2023-40000) auf, die mit dem CVS-Index 8.8 eingestuft wurde und nicht\u00a0authentifizierte Zugriffe erm\u00f6glicht.<\/p>\n Anmerkung:<\/strong> Titel und Text auf Grund der Leserkommentare leicht ge\u00e4ndert – m\u00f6chte ja nicht, dass jemand den Herzinfarkt bekommt, weil er nur \u00dcberschriften liest …<\/p>\n","protected":false},"excerpt":{"rendered":" Kleine Information an die Betreiber von WordPress-Instanzen. Ich hoffe, ihr seid auf der aktuellen WordPress-Version, denn in \u00e4lteren WordPress-Versionen gibt es eine Cross-Site-Scripting-Schwachstelle in WordPress-Core die nicht authentifizierte erm\u00f6glicht. Mir wurde zudem gerade WordPress 6.5.3 als Update angeboten. Und wer … Weiterlesen ![](\"https:\/\/i.postimg.cc\/tg18ZKdS\/image.png\")
<\/a><\/p>\nWordPress WordPress 6.5.3 verf\u00fcgbar<\/h2>\n
LightSpeed Cache als Risiko<\/h2>\n