Heute wurde am Abend ein Sicherheits- & Wartungsupdate für WordPress veröffentlicht. Die Sicherheitsprobleme sollen ab WordPress 3.7 behoben worden sein. Leider habe ich hierzu noch keine näheren Informationen finden können.
Im englischsprachigen WordPress-Blog wurden zwei Quellen angeführt. Diese weisen indirekt auf die vor einiger Zeit öffentlich bekannt gewordene Sicherheitslücke im Zusammenhang mit der Medienverwaltung (siehe z.B. bei heise Security: WordPress-Schwachstelle kann Codeausführung aus der Ferne ermöglichen). Matt Barry ist nämlich ein Entwickler des WordPress-Security-Plugins Wordfence, dass die Lücke in WordPress kurz nach dem bekanntwerden geschlossen hatte – klarerweise nur wo das erwähnte Plugin installiert war.
Neben dem Sicherheitsproblem wurden ebenso siebzehn Fehler aus WordPress 4.9.x behoben. Darunter sind Verbesserungen beim Zwischenspeicher für Termabfragen oder die Behebung eines schwerwiegenden Fehlers beim Datenschutzrichtlinieninhalt im Zusammenhang mit Rewrite-Regeln. Letztere hatte ich selber schon einmal beobachtet.
Alle vorgenommenen Änderungen sind im Codex (Release-Notes) zu finden. Ansonsten abschließend die offiziellen Meldungen:
Update 06.07.2018: Mittlerweile ist die offizielle Meldung auf der deutschsprachigen Webseite verfügbar. Ebenso sind die Release-Notes verfügbar. Das wurde im Text entsprechend angepasst und die Hinweise auf das Fehlen entfernt. Meine Vermutung betreffend des Sicherheitsproblem ist korrekt gewesen:
WordPress-Versionen 4.9.6 und früher sind von einer Medienausgabe betroffen, die es einem Benutzer mit bestimmten Rechten ermöglichen könnte, Dateien außerhalb des Upload-Verzeichnisses zu löschen.
