Wer Websites mit dem CMS WordPress erstellt und die Shortcode-Funktion nutzt, sollte die aktuelle Version 6.2.2 installieren. Darin haben die Entwickler nämlich einen Bug gefixt, der zu Problemen mit dem Feature geführt hat.

Sicherheitspatch löst Fehler aus

In WordPress sind Shortcodes eine Hilfe für den Umgang mit Code beim Erstellen einer Website. Wie bei einem Tastaturkürzel lassen sich damit quasi auf Knopfdruck komplexe Aktionen auslösen, für die sonst die Eingabe von viel Code nötig wäre. Wie aus einer Diskussion im WordPress-Ticket-System hervorgeht, hat ein Sicherheitspatch in diesem Kontext die Funktion kaputt gemacht.

In einem aktuellen Beitrag geben die Entwickler nun an, das durch den alten Patch ausgelöste Shortcode-Problem in der aktuellen WordPress-Ausgabe 6.2.2 gelöst zu haben. Alle Versionen seit 5.9 sollen jetzt repariert sein. Außerdem führen sie auf, den Schutz durch den Sicherheitspatch verbessert zu haben. Im Ticket-System beschweren sich aber immer noch Nutzer, dass das Shortcode-Feature immer noch kaputt sei.

Wie gefährlich ist die Schwachstelle?

Um was für eine Lücke es sich handelt, erläutern die Entwickler derzeit nicht. Das Notfallteam des Bundesamts für Sicherheit in der Informationstechnik (BSI) CERT Bund schreibt, dass ein entfernter, anonymer Angreifer durch das erfolgreiche Ausnutzen der Lücke Sicherheitsvorkehrungen umgehen könnte. Sie stufen den Bedrohungsgrad der Sicherheitslücke als "hoch" ein. Wie eine Attacke im Detail ablaufen könnte, führen sie aber nicht aus. Eine CVE-Nummer wurde offensichtlich noch nicht vergeben.

Das nächste große Release WordPress 6.3 ist für August 2023 geplant.

(des)