Die als am gefährlichsten eingestufte Lücke (CVE-Nummer noch ausstehend) ist mit dem Bedrohungsgrad "hoch" eingestuft. Ist der Angriff erfolgreich, könnten sich Cyberkriminelle möglicherweise die Kontrolle über eine Website erschleichen. Von dem Fehler in der wp_kses-Funktion, die eigentlich Schadcode-Skripte aus Posts entfernen soll, sollen nur die WordPress-Versionen 5.9.0 und 5.9.1 betroffen sein.
Sicherheitslücken in der freien JavaScript-Bibliothek jQuery und Block Editor können die Ursache dafür sein, dass eigener Code im Browser von Opfern ausgeführt wird. Um das zu realisieren, müssten die Opfer allerdings auf einen präparierten Link klicken. In einem Blog-Beitrag geben die Entwickler an, die Lücken in WordPress 5.9.2 geschlossen zu haben.
Quelle: heise online Redaktion
Weitere Informationen zum thema Business Security gibt es hier.
