Abo
  • Services:
Anzeige
Über einen schweren Fehler im Wordpress-Plugin Custom Contacts Form erhält ein Angreifer Adminrechte auf eine Webseite.
Über einen schweren Fehler im Wordpress-Plugin Custom Contacts Form erhält ein Angreifer Adminrechte auf eine Webseite. (Bild: Sucuri)

Wordpress: Defektes Plugin erlaubt Admin-Zugriff

Das Wordpress-Plugin Custom Contacts Form hat einen Fehler, der es Angreifern erlaubt, administrative Rechte über eine Webseite zu erhalten. Es gibt bereits einen Patch.

Anzeige

Ein kritischer Fehler im Wordpress-Plugin Custom Contacts Form ermöglicht es Angreifern, sich administrative Rechte zu der gesamten Wordpress-Seite eines Anwenders zu verschaffen. Inzwischen haben die Entwickler einen Patch für das Plugin bereitgestellt. Die Versionsnummer des reparierten Plugins lautet 5.1.0.4 und lässt sich von der Plugin-Webseite des Wordpress-Projekts herunterladen.

Der Fehler im Plugin erlaubt Angreifern den Zugriff auf die Datenbank einer Wordpress-Installation. Sie kann heruntergeladen, verändert und wieder hochgeladen werden. In der Datenbank ist auch die Benutzerverwaltung einer Wordpress-Installation gespeichert. Sie lässt sich von Angreifern manipulieren, die sich dann durch die veränderten Rechte einen vollständigen Zugriff auf die Wordpress-Installation verschaffen können. Über die kompromittierten Webseiten lässt sich auch Schadsoftware an Besucher verteilen und dieser Vorgang etwa über Sicherheitslücken in Browsern oder dem Flashplayer vereinfachen.

Schwierige Kontaktaufnahme

Die Firma Sucuri hatte die Schwachstelle entdeckt und den Entwicklern des Plugins sofort gemeldet. Nachdem sie mehrere Wochen lang keine Antwort erhielten, wandte sich Sucuri an das Security-Team von Wordpress, dem es dann gelang, die Plugin-Entwickler zu kontaktieren. Laut Sucuri wurde Custom Contacts Form mehr als 600.000-mal heruntergeladen und installiert.

Fehlerhafte Plugins in Wordpress bleiben ein großes Problem, allein schon wegen ihrer großen Zahl. Erst kürzlich hatte Sucuri einen Angriff auf Wordpress-Webseiten über das Plugin Mailpoet entdeckt. Ein Fehler in dem Plugin erlaubte ebenfalls die volle Kontrolle über eine Wordpress-Webseite.


eye home zur Startseite
Warpenstein 08. Aug 2014

Da steht man dann aber auf dem Punkt, dass man Plugins mit z.B. LUA schreiben muss und...



Anzeige

Stellenmarkt
  1. Hessischer Rundfunk, Frankfurt am Main
  2. Robert Bosch GmbH, Leonberg
  3. Broetje-Automation, Rastede
  4. Robert Bosch GmbH, Stuttgart-Feuerbach


Anzeige
Spiele-Angebote
  1. 6,49€
  2. 69,99€ (Release 31.03.)
  3. (-90%) 1,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Tinker-Board

    Asus bringt Raspberry-Pi-Klon

  2. Privatsphäre

    Verschlüsselter E-Mail-Dienst Lavabit kommt wieder

  3. Potus

    Donald Trump übernimmt präsidiales Twitter-Konto

  4. Funkchips

    Apple klagt gegen Qualcomm

  5. Die Woche im Video

    B/ow the Wh:st/e!

  6. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  7. TLS-Zertifikate

    Symantec verpeilt es schon wieder

  8. Werbung

    Vodafone will mit DVB-T-Abschaltung einschüchtern

  9. Zaber Sentry

    Mini-ITX-Gehäuse mit 7 Litern Volumen und für 30-cm-Karten

  10. Weltraumteleskop

    Erosita soll Hinweise auf Dunkle Energie finden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. US-Präsident Zuck it, Trump!
  2. Fake News Für Facebook wird es hässlich
  3. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. DACBerry One Soundkarte für Raspberry Pi liefert Töne digital und analog
  2. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  3. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel

Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

  1. Re: und nun?

    GenXRoad | 00:25

  2. Re: Nur zu 50% versichert

    My1 | 00:22

  3. Re: Die man sich nicht leisten kann...

    GenXRoad | 00:20

  4. Re: Wer mietet denn eine PS4?

    GenXRoad | 00:18

  5. Soo viele Firmen..

    Vielfalt | 00:00


  1. 16:49

  2. 14:09

  3. 12:44

  4. 11:21

  5. 09:02

  6. 19:03

  7. 18:45

  8. 18:27


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel