Sicherheitslücke in WordPress

Sicherheitslücke in WordPress

In WordPress klafft seit November 2017 eine bekannte Sicherheitslücke, die bisher nicht geschlossen wurde. Die Lücke erlaubt angemeldeten Nutzern, die WP-Installation zu übernehmen, Code auszuführen oder Daten zu löschen. Diese Lücke kann nur von angemeldeten Nutzern, die mindestens Autorenrechte haben, ausgenutzt werden.

Karim El Ouerghemmi von RIPS Technologies beschreibt das Sicherheitsproblem in einem Blogpost. Demnach wurde die Lücke bereits im November 2017 über das Bug-Bounty-Programm von WordPress an dessen Entwickler gemeldet, gefixt wurde sie jedoch bislang nicht. → golem

Karim El Ouerghemmi hat auf seiner Seite einen inoffiziellen Patch zur Verfügung gestellt. Der Codesnippet (unter Temporary Hotfix) kommt in die functions.php im aktiven Theme-Ordner.