WordPress 4.2.1 ist ab sofort verfügbar. Dieses kritische Sicherheitsupdate für alle früheren Versionen empfehlen wir allen WordPress Nutzern und Admins dringend aufzuspielen und damit Ihre Seiten sofort zu aktualisieren.
Vor wenigen Stunden wurde dem WordPress-Team Kenntnis einer Cross-Site-Scripting-Schwachstelleübermittelt, die Kommentatoren ermöglichen könnte, eine Website zu beeinträchtigen. Die Sicherheitslücke wurde von Jouko Pynnönen entdeckt.
WordPress 4.2.1 wird als automatisches Update zur Verfügung stehen.
Weitere Informationen finden Sie in den Release Notes oder konsultieren Sie die Liste der WordPress 4.2.1 Änderungen.
Laden Sie WordPress 4.2.1 über das Dashboard → Updates und klicken Sie einfach auf „Jetzt aktualisieren“.
Heise.de schreibt dazu:
Eine bisher unbekannte Sicherheitslücke gefährdet aktuelle WordPress-Installationen. Über die Kommentarfunktion können Angreifer Schadcode einbringen, der beim Anzeigen durch einen Admin dessen Konto und somit die Seite übernehmen kann.
Die Entdecker der Sicherheitslücke geben an, dass mindestens WordPress 4.2, 4.1.2, 4.1.1 und 3.9.3 mit MySQL 5.1.53 und 5.5.41 angreifbar sind. In eigenen Tests konnte heise Security das Problem mit WordPress 4.1.3 und 4.2, jeweils auf MySQL 5.5.41, bestätigen. Um sich zu schützen bis ein Patch verfügbar ist, können Administratoren entweder die Kommentarfunktion ganz deaktivieren oder alle Kommentare einzeln prüfen und manuell freischalten.