WordPress 3.3.2 schließt in erster Linie drei Sicherheitslücken in den Programm-Bibliotheken Plupload, SWFUpload und SWFObject. Darüber hinaus wurden acht weitere, zum Teil sicherheitsrelevante Bugs behoben.
Das Sicherheits-Release WordPress 3.3.2 ist auch bereits in der DE-Edition verfügbar, eine Aktualisierung auf die neue Version wird dringend empfohlen. Das nun erschienene Update der weltweit meistgenutzten Blog-Software1 behebt in erster Linie Sicherheitslücken in folgenden externen Programmbibliotheken:
- Plupload (Version 1.5.4) – wird von WordPress zum Upload von Media-Dateien verwendet
- SWFUpload – wurde in früheren Versionen von WordPress zum Upload von Media-Dateien verwendet und kann heute noch durch Plugins zum Einsatz kommen
- SWFObject – wurde in früheren Versionen von WordPress zur Einbettung von Flash-Dateien verwendet und kann heute noch durch Plugins oder Themes zum Einsatz kommen
Darüber hinaus wurden folgende sicherheitsrelevante Probleme behoben:
- Unerwünschte Ausweitung von Nutzerrechten, durch die ein Administrator unter bestimmten Umständen Netzwerk-weit Plugins deaktivieren könnte
- Cross-Site Scripting (XSS) Verwundbarkeit beim Hinterlegen von URLs mit Links
- Cross-Site Scripting (XSS) Verwundbarkeit unter bestimmten Umständen in Redirects, wenn mit älteren Browsern kommentiert wurde
Weitere fünf kleinere Bugfixes sind im Changelog verzeichnet.
Weiterführende Links
- WordPress News: WordPress 3.3.2 (20.4.2012)
- core.trac.wordpress.org: Changes in branches/3.3 [20087:20550]
Fußnote 1:
Laut W3Techs wird WordPress derzeit in 16.3% aller Websites benutzt und deckt damit 54% des gesamten Content Management System-Marktes ab.