Es wurde eine Sicherheitslücke in Wordpress entdeckt, die es ermöglicht, Inhalte ohne Login zu verändern oder bösartige Software zu verteilen und sogar den Server aus der Ferne zu übernehmen. Die Sicherheitslücke betrifft die Versionen 4.7 und 4.7.1. Wordpress Installationen müssen umgehend auf Version 4.7.2 aktualisiert werden. Bei vielen Installation geschieht dies durch den Auto-Update-Mechanismus automatisch. Die Entwickler von Wordpress haben die Sicherheitslücke 2 Wochen geheim gehalten, damit Angreifer keine Informationen dazu erhalten, bevor viele Installationen automatisch aktualisiert wurden. Die Lücke klafft in der mit Version 4.7 neu eingeführten REST-API.
In den Heise-Security-News gibt es weitere Informationen zu dem Problem:
https://www.heise.de/security/meldung/WordPress-4-7-2-Entwickler-verschw...