Bald schon soll WordPress 2.7 erscheinen, zuvor gibt es aber noch ein Sicherheitsupdate auf Version 2.6.3. Wer bisher WordPress 2.6.2 verwendet muss nur zwei Dateien erneuern, für alle anderen stehen komplette Downloadpakete bei WordPress und wordpress-deutschland.org zu Verfügung.

Und dass ist gut – sonst geht wieder ein Aufschrei wegen häufiger Updates durch die (deutschsprachige?) WordPress Community…

Das Update behebt ein Sicherheitsloch in der Bibliothek ‘Snoopy’, die innerhalb des WordPress Adminbereiches für die Einbindung externer Feeds verantwortlich ist. In Snoopy wurde der an die Funktion _httpsrequest() übergebene Inhalt bisher scheinbar nicht sicherheitsrelevant gefiltert, wodurch Schadcode ungehindert eingeschleust werden konnte. WordPress stuft das Sicherheitsrisiko als low risk vulnerability for WordPress users ein. An dieser Stelle von mir gleich wieder ein Hinweis an die Pluginentwickler: Überprüft jeden, vom Benutzer kommenden Input. Nichts, aber auch wirklich garnichts sollte ungefiltert und ungeprüft weiterverwendet werden.