Abo
  • Services:
Anzeige
Die Texturize-Funktion erlaubt Angreifern das Ausführen von Schadcode in Wordpress-Installationen.
Die Texturize-Funktion erlaubt Angreifern das Ausführen von Schadcode in Wordpress-Installationen. (Bild: Klikki.fi)

Cross-Site-Scripting: Kritische Wordpress-Lücke betrifft 86 Prozent der Seiten

Die Texturize-Funktion erlaubt Angreifern das Ausführen von Schadcode in Wordpress-Installationen.
Die Texturize-Funktion erlaubt Angreifern das Ausführen von Schadcode in Wordpress-Installationen. (Bild: Klikki.fi)

Das schwerste Sicherheitsproblem seit 2009: Über manipulierte Kommentare könnten Angreifer eine Wordpress-Installation übernehmen. Millionen von Seiten sind weltweit gefährdet.

Anzeige

Eine schwere Sicherheitslücke in der Blogging-Software Wordpress gefährdet Millionen von Seiten im Internet. Wie der finnische Sicherheitsexperte Jouko Pynnonen berichtete, erlaubt die Lücke das Einschleusen von schädlichem Javascript-Code über Kommentarfelder. Anfällig für dieses Cross-Site-Scripting (XSS) sind demnach die Versionen 3.0 bis 3.9.2, die derzeit noch 86 Prozent der im Einsatz befindlichen Installationen betreffen. Die aktuellen Versionen ab 4.0 sind nicht angreifbar. Wordpress hat dennoch ein umfangreiches Sicherheitsupdate veröffentlicht, das auch weitere Lücken schließt.

Laut Pynnonen ist der eingeschleuste Code zunächst nicht sichtbar. Wenn ein Administrator den entsprechenden Kommentar freischalten wolle, weil dieser beispielsweise Links enthalte, könnte der Code mit Administratorrechten ausgeführt werden. Dies erlaube beispielsweise die unbemerkte Änderung des Administratorpassworts, das Anlegen eines neuen Administratoraccounts oder das Ablegen von PHP-Code auf dem Server mit Hilfe des Plugin-Editors. Per Ajax-Anfrage könnte dabei sogar Zugriff auf das Betriebssystem des Servers erlangt werden. Dies alles mache aus der Lücke die schwerste Verwundbarkeit von Wordpress seit 2009, schreibt Pynnonen in einem weiteren Beitrag.

Auch WP-Statistics betroffen

Der Code wird noch nicht ausgeführt, wenn nur die Übersichtsseite der Kommentare aufgerufen wird. Wird der Kommentar allerdings freigeschaltet, betrifft er sämtliche Wordpress-Nutzer mit den entsprechenden Rechten. Ermöglicht wird die Lücke dabei durch die Formatierungsfunktion wptexturize(). Die Funktion, mit der beispielsweise Sonderzeichen automatisch ausgetauscht werden können, lasse sich so verwirren, dass HTML-Tags mit beliebigen Attributen eingefügt werden könnten. Als einfachen Schutz empfiehlt Pynnonen, diese Funktion in der Seite wp-includes/formatting.php zu deaktivieren. Die bessere Lösung sei jedoch der Wordpress-Patch.

Das aktuelle Sicherheitsupdate schließt laut Wordpress drei weitere Lücken durch Cross-Site-Scripting. Auch ein mögliches Cross-Site-Request-Forgery soll damit behoben werden. Das beliebte Plugin WP-Statistics ist ebenfalls von einem XSS-Problem betroffen. Nach Angaben des Sicherheitsexperten Marc-Alexandre Montpas könnte damit ein neuer Admin-Zugang eingerichtet und beispielsweise SEO-Spam in Beiträge eingeschleust werden. Betroffen seien alle Versionen bis 8.3. Eine gepatchte Version 8.3.1 steht inzwischen zur Verfügung. Technische Details zur Lücke sollen in den kommenden Wochen präsentiert werden.


eye home zur Startseite
trolling3r 26. Nov 2014

Das Ökosystem von Wordpress ist allen anderen Meilenweit vorraus. Millionen Themes und...

Ninos 24. Nov 2014

Der Rollout der Version 4.0.1 lief schon wenige Minuten nach der Ankündigung...

frostbitten king 24. Nov 2014

Sorry, aber ich hasse die Seiten wo ma nicht mehr per wget was herunterladen kann, bzw...

nudel 24. Nov 2014

Gerade mal in den Papierkorb geschaut, derartige Kommentare habe ich bereits Anfang Juli...



Anzeige

Stellenmarkt
  1. Daimler AG, Leinfelden-Echterdingen
  2. Deutsche Bundesbank, München
  3. Deutsche Bundesbank, Frankfurt am Main
  4. WEGMANN automotive GmbH & Co. KG, Veitshöchheim


Anzeige
Hardware-Angebote
  1. (Core i5-6600K + Geforce GTX 1070 OC)
  2. (Core i5-6600 + Geforce GTX 1070)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Mehr dazu im aktuellen Whitepaper von Bitdefender


  1. Spionage im Wahlkampf

    Russland soll hinter neuem Hack von US-Demokraten stecken

  2. Comodo

    Zertifikatsausstellung mit HTML-Injection ausgetrickst

  3. Autonomes Fahren

    Mercedes stoppt Werbespot wegen überzogener Versprechen

  4. Panne behoben

    Paypal-Lastschrifteinzug funktioniert wieder

  5. Ecix

    Australier übernehmen zweitgrößten deutschen Internetknoten

  6. Die Woche im Video

    Ab in den Urlaub!

  7. Ausfall

    Störung im Netz von Netcologne

  8. Cinema 3D

    Das MIT arbeitet an 3D-Kino ohne Brille

  9. AVM

    Hersteller für volle Routerfreiheit bei Glasfaser und Kabel

  10. Hearthstone

    Blizzard feiert eine Nacht in Karazhan



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xiaomi Mi Band 2 im Hands on: Fitness-Preisbrecher mit Hack-App
Xiaomi Mi Band 2 im Hands on
Fitness-Preisbrecher mit Hack-App
  1. Mi Notebook Air Xiaomi steigt mit Kampfpreisen ins Notebook-Geschäft ein
  2. Xiaomi Hugo Barra verkündet Premium-Smartphone
  3. Redmi 3S Xiaomis neues Smartphone kostet umgerechnet 95 Euro

Amoklauf in München: De Maizière reanimiert Killerspiel-Debatte
Amoklauf in München
De Maizière reanimiert Killerspiel-Debatte
  1. Killerspiel-Debatte ProSieben Maxx stoppt Übertragungen von Counter-Strike

Schwachstellen aufgedeckt: Der leichtfertige Umgang mit kritischen Infrastrukturen
Schwachstellen aufgedeckt
Der leichtfertige Umgang mit kritischen Infrastrukturen
  1. Keysniffer Millionen kabellose Tastaturen senden Daten im Klartext
  2. Tor Hidden Services Über 100 spionierende Tor-Nodes
  3. Pilotprojekt EU will Open Source sicherer machen

  1. Re: Teilautonomes fahren riskant?

    kazhar | 09:04

  2. Re: Wo ist der Haken?

    Chris79 | 08:50

  3. Re: Zu Teuer (wie immer)

    Georgm. | 08:47

  4. Re: Aggressive Frontflügel (F-E...

    Moe479 | 08:29

  5. Re: UltraFinder als Alternative Suche

    Rulf | 08:25


  1. 14:22

  2. 13:36

  3. 13:24

  4. 13:13

  5. 12:38

  6. 09:01

  7. 18:21

  8. 18:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel