2019-1850: WordPress: Mehrere Schwachstellen ermöglichen u. a. verschiedene Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2019-09-05 14:20): Neues Advisory
Version 2 (2019-10-18 10:52): Für Debian Jessie (LTS) steht ein Backport-Sicherheitsupdate zur Behebung der Schwachstellen zur Verfügung.

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

In WordPress existieren mehrere Schwachstellen, die wahrscheinlich von einem entfernten, einfach authentisierten Angreifer für verschiedene Cross-Site-Scripting (XSS)-Angriffe, teilweise auch reflektierte XSS-Angriffe, ausgenutzt werden können. Eine weitere Schwachstelle erlaubt einem solchen Angreifer einen Open-Redirect-Angriff.

WordPress veröffentlicht das Security und Maintenance Release WordPress 5.2.3 mit welchem die aufgeführten Schwachstellen und mehrere nicht sicherheitsrelevante Fehler behoben sowie Erweiterungen umgesetzt werden.

Sollte bisher keine Aktualisierung auf die WordPress Version 5.2 erfolgt sein, so stehen die Korrekturen ebenfalls für WordPress 5.0 und frühere Versionen zur Verfügung. Aktualisierte Pakete stehen ab dem Branch 3.7 bereit.

WordPress informiert unter der Rubrik Security außerdem darüber, dass eine Aktualisierung von jQuery bereits mit der WordPress Version 5.2.1 erfolgt ist, diese Aktualisierung jetzt aber auch für die älteren Versionen vorgenommen wurden.

Für Fedora 29, 30 und 31 stehen Sicherheitsupdates auf die WordPress Version 5.2.3 bereit und für Fedora EPEL 6 und 7 stehen 'wordpress-5.1.2-1'-Pakete als Sicherheitsupdates zur Verfügung. Die Fedora Sicherheitsupdates befinden sich derzeit im Status 'pending'.