Update für Wordpress 3.6 schließt Sicherheitslücken
Das kürzlich veröffentlichte Wordpress 3.6 mit dem Codenamen Oscar erhält jetzt mit Version 3.6.1 ein erstes Wartungs- und Sicherheitsupdate. Dabei wurden drei Sicherheitslücken geschlossen sowie 13 Fehler beseitigt.
Die geschlossenen Sicherheitslücken beseitigen Gefährdungen wie PHP Object Injection, die Möglichkeit, Einträge zu erzeugen, welche einen anderen Nutzer als Autor ausweisen, sowie ein Problem mit möglicher Link Injection, die dazu führen konnte, dass Anwender auf eine andere Webseite geführt oder umgeleitet wurden. Darüber hinaus wurden die Sicherheitseinschränkungen für Datei-Uploads verschärft, um Cross-Site-Scripting vorzubeugen. Das führt dazu, dass das Hochladen von EXE- und SWF-Dateien nun standardmäßig deaktiviert ist und HTM- und HTML-Dateien nur hochgeladen werden dürfen, wenn in den Nutzereinstellungen ungefiltertes HTML zugelassen ist.
Wordpress rät zum schnellen Update auf die neue Version. Das funktioniert wie gewohnt über das Dashboard, ansonsten kann das Update auch über die Downloadseite von Wordpress bezogen werden.