Das beliebte CMS Wordpress leidet einmal mehr an gravierenden Schwachstellen. Wer eine Wordpress-basierte Website betreibt, sollte die Wordpress-Installation auf seinem Server deshalb so rasch wie möglich auf den neuesten Stand bringen. Die Lecks heissen CVE-2018-19296, bewertet mit Schweregrad hoch, und CVE-2020-36326 (kritisch), finden sich im PHPMailer und ermöglichen Angreifern, via Object Injection eigenen Code einzuschleusen. Die Entwickler des CMS weisen in einer
Sicherheitswarnung auf die Problematik hin.
Von dem Problem betroffen sind demnach alle Wordpress-Versionen von 3.7 bis 5.7. Für Nutzer älterer Versionen als 5.7 wurden alle Versionen ab 3.7 aktualisiert. Die neueste Version, die beide Fehler behebt, ist 5.7.2. Sie wird von den Entwicklern als Short-Cycle Security Release bezeichnet und steht auf
Wordpress.org oder im Dashboard der jeweiligen Wordpress-Installation unter Updates zur Verfügung. Auf Wordpress-Sites, die automatische Background-Updates aktiviert haben, hat der Update-Prozess bereits begonnen.
(ubi)