Seit ein paar Minuten ist WordPress in einer neuen Version zu haben. Es wurden in der Summe 12 Fehler bereinigt und es sollte auf jeden Fall ein Update unternommen werden.
Aus der Meldung
Version 3.5.2 fixes seven security issues:
* Server-Side Request Forgery (SSRF) via the HTTP API. CVE-2013-2199.
* Privilege Escalation: Contributors can publish posts, and users can reassign authorship. CVE-2013-2200.
* Cross-Site Scripting (XSS) in SWFUpload. CVE-2013-2205.
* Denial of Service (DoS) via Post Password Cookies. CVE-2013-2173.
* Content Spoofing via Flash Applet in TinyMCE Media Plugin. CVE-2013-2204.
* Cross-Site Scripting (XSS) when Uploading Media. CVE-2013-2201.
* Full Path Disclosure (FPD) during File Upload. CVE-2013-2203.Additional security hardening includes:
* Cross-Site Scripting (XSS) (Low Severity) when Editing Media. CVE-2013-2201.
* Cross-Site Scripting (XSS) (Low Severity) when Installing/Updating Plugins/Themes. CVE-2013-2201.
* XML External Entity Injection (XXE) via oEmbed. CVE-2013-2202.
Weiteres zum Thema unter WordPress 3.5.2 Maintenance and Security Release
Wie immer lässt sich das „CMS“ in der Administrationsoberfläche, per FTP oder auch per SSH auf den neuesten Stand bringen.