Admins von WordPress-Websites sollten sich vor Schadcode-Attacken schützen, indem sie die aktuelle Ausgabe des Content-Management-System (CMS) installieren. Darin haben die Entwickler eigenen Angaben zufolge drei Sicherheitslücken geschlossen. Die als am gefährlichsten eingestufte Lücke (CVE-Nummer noch ausstehend) ist mit dem Bedrohungsgrad „hoch“ eingestuft. Verfügen Angreifer über die Rechte Posts auf Websites zu veröffentlichen, könnten sie diese mit eigenen Skripten anreichern, um so Schadcode auf einer Seite zu verankern (Stored XSS-Attacke). Schaut sich ein Admin so einen Post in der Vorschau an, soll der Code ausgeführt werden, führen Sicherheitsforscher von Wordfence in einem Beitrag aus. Klappt so eine Attacke, könnten Angreifer die volle Kontrolle über eine Website erlangen. Der Fehler findet sich in der wp_kses
-Funktion, die eigentlich Schadcode-Skripte aus Posts entfernen soll. Davon sollen ausschließlich die WordPress-Versionen 5.9.0 und 5.9.1 betroffen sein. Aufgrund von Schwachstellen in der freien JavaScript-Bibliothek jQuery und Block Editor könnten eigenen Code im Browser von Opfern ausführen. Dafür müssen Opfer aber auf einen präparierten Link klicken. Insgesamt sollen Attacken aber vergleichsweise aufwendig sein. Beide Lücken sind mit „mittel“ eingestuft. In einem Blog-Beitrag geben die Entwickler an, die Lücken in WordPress 5.9.2geschlossen zu haben. Admins starten die Aktualisierung direkt aus dem Dashboard.