In der aktuellen Version 5.4.2 von WordPress werden nach eigenen Angaben 6 Sicherheitslücken geschlossen und 23 Fehler bereinigt.
In den Dankesworten von WordPress werden auch die Sicherheitslücken konkreter benannt:
- Sam Thomas (jazzy2fives) für das Aufdecken einer XSS-Schwachstelle, durch die authentifizierte Benutzer mit geringen Rechten JavaScript zu Beiträgen im Block-Editor hinzufügen können.
- Luigi – (gubello.me) für das Aufspüren einer XSS-Schwachstelle, durch die authentifizierte Benutzer mit Upload-Berechtigungen JavaScript zu Mediendateien hinzufügen können.
- Ben Bidner vom WordPress-Sicherheitsteam für das Aufdecken eines offenen Weiterleitungs-Problems in
wp_validate_redirect(). - Nrimo Ing Pandum für das Auffinden einer authentifizierten XSS-Schwachstelle bei den Theme-Uploads.
- Simon Scannell von RIPS Technologies für das Aufdecken einer Schwachstelle, bei der die
set-screen-optionvon Plugins zweckentfremdet werden kann, was zu einer Erweiterung der Berechtigungen führt. - Carolina Nymark für die Entdeckung einer Schwachstelle, durch die Kommentare von passwortgeschützten Beiträgen und Seiten unter bestimmten Bedingungen angezeigt werden können.
Weitere Details schreibt WordPress in seinem Blog.
