Abo
  • Services:
Anzeige
Die Texturize-Funktion erlaubt Angreifern das Ausführen von Schadcode in Wordpress-Installationen.
Die Texturize-Funktion erlaubt Angreifern das Ausführen von Schadcode in Wordpress-Installationen. (Bild: Klikki.fi)

Cross-Site-Scripting: Kritische Wordpress-Lücke betrifft 86 Prozent der Seiten

Die Texturize-Funktion erlaubt Angreifern das Ausführen von Schadcode in Wordpress-Installationen.
Die Texturize-Funktion erlaubt Angreifern das Ausführen von Schadcode in Wordpress-Installationen. (Bild: Klikki.fi)

Das schwerste Sicherheitsproblem seit 2009: Über manipulierte Kommentare könnten Angreifer eine Wordpress-Installation übernehmen. Millionen von Seiten sind weltweit gefährdet.

Anzeige

Eine schwere Sicherheitslücke in der Blogging-Software Wordpress gefährdet Millionen von Seiten im Internet. Wie der finnische Sicherheitsexperte Jouko Pynnonen berichtete, erlaubt die Lücke das Einschleusen von schädlichem Javascript-Code über Kommentarfelder. Anfällig für dieses Cross-Site-Scripting (XSS) sind demnach die Versionen 3.0 bis 3.9.2, die derzeit noch 86 Prozent der im Einsatz befindlichen Installationen betreffen. Die aktuellen Versionen ab 4.0 sind nicht angreifbar. Wordpress hat dennoch ein umfangreiches Sicherheitsupdate veröffentlicht, das auch weitere Lücken schließt.

Laut Pynnonen ist der eingeschleuste Code zunächst nicht sichtbar. Wenn ein Administrator den entsprechenden Kommentar freischalten wolle, weil dieser beispielsweise Links enthalte, könnte der Code mit Administratorrechten ausgeführt werden. Dies erlaube beispielsweise die unbemerkte Änderung des Administratorpassworts, das Anlegen eines neuen Administratoraccounts oder das Ablegen von PHP-Code auf dem Server mit Hilfe des Plugin-Editors. Per Ajax-Anfrage könnte dabei sogar Zugriff auf das Betriebssystem des Servers erlangt werden. Dies alles mache aus der Lücke die schwerste Verwundbarkeit von Wordpress seit 2009, schreibt Pynnonen in einem weiteren Beitrag.

Auch WP-Statistics betroffen

Der Code wird noch nicht ausgeführt, wenn nur die Übersichtsseite der Kommentare aufgerufen wird. Wird der Kommentar allerdings freigeschaltet, betrifft er sämtliche Wordpress-Nutzer mit den entsprechenden Rechten. Ermöglicht wird die Lücke dabei durch die Formatierungsfunktion wptexturize(). Die Funktion, mit der beispielsweise Sonderzeichen automatisch ausgetauscht werden können, lasse sich so verwirren, dass HTML-Tags mit beliebigen Attributen eingefügt werden könnten. Als einfachen Schutz empfiehlt Pynnonen, diese Funktion in der Seite wp-includes/formatting.php zu deaktivieren. Die bessere Lösung sei jedoch der Wordpress-Patch.

Das aktuelle Sicherheitsupdate schließt laut Wordpress drei weitere Lücken durch Cross-Site-Scripting. Auch ein mögliches Cross-Site-Request-Forgery soll damit behoben werden. Das beliebte Plugin WP-Statistics ist ebenfalls von einem XSS-Problem betroffen. Nach Angaben des Sicherheitsexperten Marc-Alexandre Montpas könnte damit ein neuer Admin-Zugang eingerichtet und beispielsweise SEO-Spam in Beiträge eingeschleust werden. Betroffen seien alle Versionen bis 8.3. Eine gepatchte Version 8.3.1 steht inzwischen zur Verfügung. Technische Details zur Lücke sollen in den kommenden Wochen präsentiert werden.


eye home zur Startseite
trolling3r 26. Nov 2014

Das Ökosystem von Wordpress ist allen anderen Meilenweit vorraus. Millionen Themes und...

Ninos 24. Nov 2014

Der Rollout der Version 4.0.1 lief schon wenige Minuten nach der Ankündigung...

frostbitten king 24. Nov 2014

Sorry, aber ich hasse die Seiten wo ma nicht mehr per wget was herunterladen kann, bzw...

nudel 24. Nov 2014

Gerade mal in den Papierkorb geschaut, derartige Kommentare habe ich bereits Anfang Juli...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. Landeshauptstadt München, München
  3. DYNAMIC ENGINEERING GMBH, München
  4. viastore SYSTEMS GmbH, Stuttgart oder Löhne


Anzeige
Top-Angebote
  1. 349,97€
  2. 189,00€ (Vergleichspreis ab ca. 235€)
  3. 99,00€ (Vergleichspreis ab ca. 129€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Microsoft

    Besucher können die Hololens im Kennedy Space Center nutzen

  2. MacOS 10.12

    Fujitsu warnt vor der Nutzung von Scansnap unter Sierra

  3. IOS 10.0.2

    Apple beseitigt Ausfälle der Lightning-Audio-Kontrollen

  4. Galaxy Note 7

    Samsung tauscht das Smartphone vor der Haustür aus

  5. Falcon-9-Explosion

    SpaceX grenzt Explosionsursache ein

  6. Die Woche im Video

    Schneewittchen und das iPhone 7

  7. 950 Euro

    Abmahnwelle zu Pornofilm-Filesharing von Betrügern

  8. Jailbreak

    19-Jähriger will iPhone-7-Exploit für sich behalten

  9. Alle drei Netze

    Ericsson und Icomera bauen besseres Bahn-WLAN

  10. Oculus Rift

    Palmer Luckey im Netz als Trump-Unterstützer geoutet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oliver Stones Film Snowden: Schneewittchen und die nationale Sicherheit
Oliver Stones Film Snowden
Schneewittchen und die nationale Sicherheit
  1. US-Experten im Bundestag Gegen Überwachung helfen keine Gesetze
  2. Neues BND-Gesetz Eco warnt vor unkontrolliertem Zugriff auf deutschen Traffic
  3. Datenschützerin Voßhoff Geheimbericht wirft BND schwere Gesetzesverstöße vor

Fitbit Charge 2 im Test: Fitness mit Herzschlag und Klopfgehäuse
Fitbit Charge 2 im Test
Fitness mit Herzschlag und Klopfgehäuse
  1. Fitbit Ausatmen mit dem Charge 2
  2. Polar M600 Sechs LEDs für eine Pulsmessung
  3. Xiaomi Mi Band 2 im Hands on Fitness-Preisbrecher mit Hack-App

Osmo Mobile im Test: Hollywood fürs Smartphone
Osmo Mobile im Test
Hollywood fürs Smartphone
  1. Osmo Mobile DJI präsentiert Gimbal fürs Smartphone
  2. Hasselblad DJI hebt mit 50-Megapixel-Luftbildkamera ab
  3. DJI Flugverbotszonen in Drohnensoftware lassen sich ausschalten

  1. Trump und Clinton sind beide eine große Gefahr...

    fb_partofmilitc... | 06:30

  2. Re: [Hier Beleidigung einfügen]

    grslbr | 05:35

  3. Re: Wow...

    DerVorhangZuUnd... | 05:11

  4. Re: Hübsches kleines Ding

    Mixer | 04:03

  5. Re: Ja und???

    emuuu | 01:17


  1. 12:51

  2. 11:50

  3. 11:30

  4. 11:13

  5. 11:03

  6. 09:00

  7. 18:52

  8. 17:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel