Angreifer mit Autorenrechten und dem passenden Exploit-Code können beliebige Dateien aus dem beliebten CMS löschen. Es gibt einen inoffiziellen Patch. Von Heise:

Eine Schwachstelle im WordPress-Code ermöglicht autorisierten Angreifern unter bestimmten Umständen das Löschen beliebiger Dateien aus der Ferne. Im schlimmsten Fall ist darüber hinaus auch die Ausführung beliebigen Programmcodes möglich.

Voraussetzung für den von Analysesoftware-Hersteller RIPS Technologies entdeckten Angriff sind Programmierkenntnisse sowie der Zugriff auf das WordPress-Backend (mindestens) mit Autorenrechten.
Über die Schwachstelle, die in sämtlichen WordPress-Versionen einschließlich dem aktuellen Release 4.9.6 steckt, hat RIPS Technologies das WordPress-Team eigenen Angaben zufolge bereits im November 2017 informiert. Einen Patch gibt es bislang dennoch nicht.

Weiter lesen