WordPress 6.0.3 Sicherheitsupdate – 16 Schwachstellen, die behoben werden müssen

Das WordPress 6.0.3 Sicherheitsupdate enthält Patches für viele Schwachstellen, von denen die meisten einen geringen Schweregrad haben oder ein hochprivilegiertes Benutzerkonto oder zusätzlichen anfälligen Code erfordern, um ausgenutzt zu werden.

Wir möchten diese Schwachstellen teilen, damit Sie sie kennen und Maßnahmen ergreifen können, um eine potenziell gehackte Website zu vermeiden.

1. Authentifiziertes (Mitwirkender+) gespeichertes Cross-Site-Scripting über RSS-Widget/-Block
Betroffene Versionen: WordPress Core < 6.0.3 & Gutenberg < 14.3.1
Forscher: N/A
CVE-Kennung: Anhängig
CVSS-Punktzahl: 6.4 (Mittel)
CVSS-Vektor: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Vollständig gepatchte Version:  6.0.3
Changeset:  https://core.trac.wordpress.org/changeset/54543

Ein Angreifer auf Mitwirkenderebene könnte auf einer von ihm kontrollierten Website eine Seite erstellen, die einen Fehlercode und ein bösartiges Skript in der Inhaltstyp Antwort-Header.

2. Authentifiziertes gespeichertes Cross-Site-Scripting per Suchblock
Betroffene Versionen: WordPress Core < 6.0.3 & Gutenberg < 14.3.1
Forscher: Alex Concha
CVE-Kennung: Anhängig
CVSS-Punktzahl: 6.4 (Mittel)
CVSS-Vektor: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Vollständig gepatchte Version:  6.0.3
Changeset:  https://core.trac.wordpress.org/changeset/54543

Es ist möglich, dass Benutzer, die Beiträge bearbeiten können, bösartiges JavaScript über die Attribute Textfarbe und Hintergrundfarbe des Suchblocks einfügen.

Beschreibung: Authentifiziertes gespeichertes Cross-Site-Scripting über den Featured Image Block
Betroffene Versionen: WordPress Core < 6.0.3 & Gutenberg < 14.3.1
Forscher: N/A
CVE-Kennung: Anhängig
CVSS-Punktzahl: 6.4 (Mittel)
CVSS-Vektor: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Vollständig gepatchte Version:  6.0.3
Changeset: https://core.trac.wordpress.org/changeset/54543