..eine recht aktuelle Meldung des BSI über Schwachstellen in WordPress, die auch schon ausgenutzt werden.
Die Webseite in das Patchmanagement mit einzubeziehen wie z.B. ein lokaler Windowsserver wird immer wichtiger. Die Frequenz an Updates von WordPress und den Plugins ist inzwischen so hoch wie bei Microsoftprodukten oder anderen Windowsapplikationen wie der Adobe Acrobat Reader…
Hier die org. Meldung des CERT:
CERT-Bund Meldung
—————–
KURZINFO CB-K19/0155
Titel: WordPress: Mehrere Schwachstellen
Datum: 21.02.2019
Software: Open Source WordPress < 4.9.9, Open Source WordPress
< 5.0.1
Plattform: UNIX, Linux, Windows
Auswirkung: Ausführen beliebigen Programmcodes mit den Rechten
des Dienstes
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2019-8942, CVE-2019-8943
Bezug: https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-wordpress-could-allow-for-remote-code-execution_2019-023/
REVISIONS HISTORIE
Version: 1
Initiale Fassung
BESCHREIBUNG
WordPress ist ein PHP basiertes Open Source Blog-System.
Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in
WordPress ausnutzen, um beliebigen Programmcode mit den Rechten des
Dienstes auszuführen oder Daten zu manipulieren.
[1] Advisory von cisecurity.org vom 2019-02-20
<https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-wordpress-could-allow-for-remote-code-execution_2019-023/>