WordPress-Update beseitigt Sicherheitslücken

Die Entwickler von WordPress haben am 20. April 2012 ein Upgradepaket von 3.3.1 auf 3.3.2 veröffentlicht. Es schließt drei bisher nicht näher beschriebene Schwachstellen in den externen Bibliotheken Plupload, SWFUpload und SWFObject. Eine weitere Lücke betrifft die Ausweitung von Rechten. Blog-Adminstratoren könnten sie unter bestimmten Bedingungen ausnutzen, um darüber sämtliche Plugins auf dem Server (WordPress-Network) zu deaktivieren.

Mit dem Update wurden außerdem zwei Cross-Site-Scripting-Lücken gestopft. Sie erlaubt Angreifern, beliebigen Code in bestimmte Webseiten von Wordpress einzuschleusen.

Wordpress kündigt zudem einen baldigen Versionssprung auf WordPress 3.4 an. Deshalb wurde neben Version 3.3.2 die dritte Beta-Version WordPress 3.4 veröffentlicht.

Nähere Informationen zum Sicherheitsrelease finden sich im Changelog. Die offizielle deutschsprachige Version steht auf blog.wpde.org zur Verfügung. WordPress-Admins können das Skript jedoch auch über das Update-Menü des Dashboards aktualisieren. Die Entwickler raten Administratoren vor jeder Aktualisierung dringend zu einem vollständigen Update der Dateien und der Datenbank. Das gilt auch, wenn die automatische Updatefunktion aktiviert ist. Die offizielle englischsprachige Version steht im Downloadbereich zur Verfügung.