Wordpress 3.0 “Thelonious” ohne nennenswerte Sicherheitsupdates

WordPress 3.0 “Thelonious” ohne nennenswerte Sicherheitsupdates

Geschrieben von Sebastian Klipper am 20. Juni 2010. Berichten Sie über diesen Beitrag via Twitter oder Xing.

Von 1218 Bugfixes und Änderungen in der neuen WordPress-Version 3.0 betreffen nur 14 Security-Bugs. Keines davon wirklich schlimm. Die XSS-Schwachstelle in wp-admin/options.php wurde bereits mit Version 2.9.2 behoben. Ein Update ist daher nicht zwingend für alle WordPress-Nutzer, sondern hängt vom Einzelfall ab. Wenn Sie das Theme Twenty Ten verwenden, sollten Sie zum Beispiel updaten. Die Security-Bugfixes sind:

#11767 activate_sitewide_plugin() uses insufficiently sanitized user input

#11774 in ms-edit.php, WPLANG site option gets updated without any validation

#11775 in ms-edit.php, illegal_names gets updated without the slightest validation

#11777 ms-edit.php / addblog action improperly sanitizes domains

#11779 ms-edit.php creates garbage data for anything that is potentially affected by addslashes() and is on the whole completely unsanitized

#11782 improperly sanitized attributes in ms-options.php and ms-sites.php

#11802 too many caps for non super admins

#12284 I/O Sanity Failures With Invalid HTML Entity References

#12417 XSS in wp-admin/options.php (bereits seit 2.9.2 behoben)

#12781 Minor XSS issue in Twenty Ten theme

#12999 Viewing unattached attachments results in 404

#13000 delete_themes and delete_plugins caps do not obey DISALLOW_FILE_EDIT