Abo
  • Services:

Codeausführung: Wordpress schließt Sicherheitslücke nicht

Eine Sicherheitslücke in Wordpress erlaubt angemeldeten Nutzern, die Installation zu übernehmen und Code auszuführen. Wordpress wusste von dem Problem seit November 2017, hat es aber bisher nicht gefixt.

Artikel veröffentlicht am , Hanno Böck
Eine Sicherheitslücke gefährdet vor allem Multi-User-Installationen von Wordpress.
Eine Sicherheitslücke gefährdet vor allem Multi-User-Installationen von Wordpress. (Bild: RIPS Technologies)

Die Firma RIPS Technologies hat eine Sicherheitslücke in Wordpress entdeckt. Eine fehlende Validierung von Daten beim Hochladen von Bildern erlaubt es, beliebige Dateien zu löschen. Damit lässt sich mit einem weiteren Trick die gesamte Installation übernehmen.

Stellenmarkt
  1. Hays AG, Frankfurt
  2. PTV GROUP, Karlsruhe

Karim El Ouerghemmi von RIPS Technologies beschreibt das Sicherheitsproblem in einem Blogpost. Demnach wurde die Lücke bereits im November 2017 über das Bug-Bounty-Programm von Wordpress an dessen Entwickler gemeldet, gefixt wurde sie jedoch bislang nicht.

Installationen mit mehreren Nutzern gefährdet

Ausnutzen lässt sich die Lücke von einem angemeldeten Nutzer, der das Recht hat, Dateien hochzuladen und zu löschen. Betroffen sind also in erster Linie Installationen, auf denen mehrere Personen Editierrechte haben.

Wenn in Wordpress eine Datei - etwa ein hochgeladenes Bild - von einem angemeldeten Nutzer wieder gelöscht wird, dann wird auch das zugehörige Thumbnail entfernt. Das Problem: Der Dateiname des Thumbnails wird beim Hochladen aus einem Formularfeld ausgelesen und ungeprüft in die Datenbank geschrieben. Ein Angreifer kann nun hier einen beliebigen Dateinamen angeben und auch den Pfad manipulieren. Damit lassen sich beliebige Dateien löschen, sofern die Wordpress-Installation darauf Zugriff hat. Ganz banal könnte ein Angreifer also beispielsweise schlicht alle Dateien löschen und eine Webseite unbrauchbar machen.

Die Lücke lässt sich jedoch auch ausnutzen, um Code auf dem Server auszuführen. Dafür löscht man die Konfigurationsdatei von Wordpress (wp-config.php). Wenn ein Wordpress keine Konfigurationsdatei vorfindet, wird die Installationsroutine angeboten - und die erfordert keinerlei Authentifizierung. Ein Angreifer kann also die Installation selbst durchführen, einen von ihm kontrollierten Datenbankserver angeben und anschließend durch die Installation eines Plugins Code ausführen.

Inoffizieller Patch verhindert Angriff

Von Wordpress gibt es bislang keine Informationen zur Lücke. Sie betrifft alle Wordpress-Versionen inklusive der aktuellen Version 4.9.6. RIPS Technologies hat einen vorläufigen, inoffiziellen Patch bereitgestellt. Vor allem Nutzer von Wordpress-Installationen, auf denen mehrere Autoren tätig sind, sollten diesen Patch installieren.



Anzeige
Top-Angebote
  1. 4,95€ anstatt 9,95€ pro Monat
  2. 319€ + Versand (Vergleichspreis 357,47€)
  3. (heute u. a. ASUSTOR AS1004T für 199€ + Versand)
  4. 99,99€

kaklaka 28. Jun 2018

Zum einen ist ihr Patch nur ein Workaround. Er verhindert nur, dass Dateipfade im Thumb...

TheUnichi 28. Jun 2018

laughing eut loud?


Folgen Sie uns
       


V-Rally 4 - Golem.de live

Michael schaut sich die PC-Version von V-Rally 4 an, die in einigen Punkten deutlich besser ist als die Konsolenfassung.

V-Rally 4 - Golem.de live Video aufrufen
Agilität: Wenn alle bestimmen, wo es langgeht
Agilität
Wenn alle bestimmen, wo es langgeht

Agiles Arbeiten ist, als ob viele Menschen gemeinsam ein Auto fahren. Aber wie soll das gehen und endet das nicht im Riesenchaos?
Von Marvin Engel

  1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  2. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp
  3. IT-Jobs "Jedes Unternehmen kann es besser machen"

Geforce RTX 2070 im Test: Diese Turing-Karte ist ihr Geld wert
Geforce RTX 2070 im Test
Diese Turing-Karte ist ihr Geld wert

Die Geforce RTX 2070 ist die günstigste oder eher am wenigsten teure Turing-Grafikkarte von Nvidia. Sie ist schneller und sparsamer als eine Geforce GTX 1080 oder Vega 64 und kostet je nach Modell fast genauso viel. Wir haben zwei Geforce-RTX-2070-Varianten von Asus und MSI getestet.
Ein Test von Marc Sauter

  1. Turing-Grafikkarten Geforce RTX werden sparsamer bei multiplen Displays
  2. Turing-Grafikkarten Nvidias Founder's Editions gehen offenbar reihenweise kaputt
  3. Nvidia Turing Geforce RTX sollen Adobe Dimension beschleunigen

Remote Code Execution: Die löchrige Webseite des TÜV Süd
Remote Code Execution
Die löchrige Webseite des TÜV Süd

Der TÜV Süd vergibt Siegel für sichere Webseiten - und tut sich gleichzeitig enorm schwer damit, seine eigene Webseite abzusichern. Jetzt fand sich dort sogar eine Remote-Code-Execution-Lücke, die der TÜV erst im zweiten Anlauf behoben hat.
Ein Bericht von Hanno Böck

  1. Websicherheit Onlineshops mit nutzlosem TÜV-Siegel

    •  /