Soeben wurden neue Updates für WordPress veröffentlicht, es handelt sich um die Versionen 4.1.5 und 4.2.2.
Das Update 4.1.5 schließt die XSS Lücke bezüglich des Genericons Paketes, außerdem wird ein Fix für die XSS Anfälligkeit verbessert welcher in Version 4.1.4 ausgerollt wurde. Desweiteren werden noch 3 Fehler aus 4.1.4 geschlossen. Alles über die Version findet ihr in der Versions Info
Das Update 4.2.2 schließt ebenso die Genericons Lücke sowie 13 Fehler aus 4.2.1 – komplette Infos auch hier in der Versions Info.
Offenbar wurde in der 4.2.2 auch das Problem der Plugin Updates behoben, diese ließen sich teilweise unter 4.2 nicht mehr updaten. Dazu findet man im Changelog allerdings keinen Hinweis.
Bei beiden Updates findet sich auch diese Info:
The release also includes hardening for a potential cross-site scripting vulnerability when using the Visual editor.
Heißt für mich, es gibt ein weiteres Problem, welches vermutlich bisher noch nicht publiziert wurde.
Bitte beachtet, dass die Genericons Lücke nur dann geschlossen wird, wenn das Update über die ‚Aktualisieren‘ Funktion eingespielt wird, hierbei wird die example.html Datei dann entfernt. Wenn ich die Dateien manuell – per FTP oder SVN – einspielt, dann müsst ihr die example.html manuell entfernen, ansonsten wird das Problem nicht behoben!
Wenn ihr Autoupdate aktiviert habt, dann werden diese Updates bei eurem Blog in Kürze eingespielt sein.
