Codeausführung: Wordpress schließt Sicherheitslücke nicht

Eine Sicherheitslücke in Wordpress erlaubt angemeldeten Nutzern, die Installation zu übernehmen und Code auszuführen. Wordpress wusste von dem Problem seit November 2017, hat es aber bisher nicht gefixt.

Artikel veröffentlicht am , Hanno Böck
Eine Sicherheitslücke gefährdet vor allem Multi-User-Installationen von Wordpress.
Eine Sicherheitslücke gefährdet vor allem Multi-User-Installationen von Wordpress. (Bild: RIPS Technologies)

Die Firma RIPS Technologies hat eine Sicherheitslücke in Wordpress entdeckt. Eine fehlende Validierung von Daten beim Hochladen von Bildern erlaubt es, beliebige Dateien zu löschen. Damit lässt sich mit einem weiteren Trick die gesamte Installation übernehmen.

Stellenmarkt
  1. Informatiker (w/m/d) mit Bachelor oder Fachhochschul-Diplom im Dezernat "IT-Betrieb" (Z3C)
    Bundeskartellamt, Bonn
  2. Product Owner (m/w/d)
    Scheidt & Bachmann Fuel Retail Solutions GmbH, Mönchengladbach
Detailsuche

Karim El Ouerghemmi von RIPS Technologies beschreibt das Sicherheitsproblem in einem Blogpost. Demnach wurde die Lücke bereits im November 2017 über das Bug-Bounty-Programm von Wordpress an dessen Entwickler gemeldet, gefixt wurde sie jedoch bislang nicht.

Installationen mit mehreren Nutzern gefährdet

Ausnutzen lässt sich die Lücke von einem angemeldeten Nutzer, der das Recht hat, Dateien hochzuladen und zu löschen. Betroffen sind also in erster Linie Installationen, auf denen mehrere Personen Editierrechte haben.

Wenn in Wordpress eine Datei - etwa ein hochgeladenes Bild - von einem angemeldeten Nutzer wieder gelöscht wird, dann wird auch das zugehörige Thumbnail entfernt. Das Problem: Der Dateiname des Thumbnails wird beim Hochladen aus einem Formularfeld ausgelesen und ungeprüft in die Datenbank geschrieben. Ein Angreifer kann nun hier einen beliebigen Dateinamen angeben und auch den Pfad manipulieren. Damit lassen sich beliebige Dateien löschen, sofern die Wordpress-Installation darauf Zugriff hat. Ganz banal könnte ein Angreifer also beispielsweise schlicht alle Dateien löschen und eine Webseite unbrauchbar machen.

Golem Karrierewelt
  1. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    19.-22.09.2022, virtuell
  2. Container Management und Orchestrierung: virtueller Drei-Tage-Workshop
    22.-24.08.2022, Virtuell
Weitere IT-Trainings

Die Lücke lässt sich jedoch auch ausnutzen, um Code auf dem Server auszuführen. Dafür löscht man die Konfigurationsdatei von Wordpress (wp-config.php). Wenn ein Wordpress keine Konfigurationsdatei vorfindet, wird die Installationsroutine angeboten - und die erfordert keinerlei Authentifizierung. Ein Angreifer kann also die Installation selbst durchführen, einen von ihm kontrollierten Datenbankserver angeben und anschließend durch die Installation eines Plugins Code ausführen.

Inoffizieller Patch verhindert Angriff

Von Wordpress gibt es bislang keine Informationen zur Lücke. Sie betrifft alle Wordpress-Versionen inklusive der aktuellen Version 4.9.6. RIPS Technologies hat einen vorläufigen, inoffiziellen Patch bereitgestellt. Vor allem Nutzer von Wordpress-Installationen, auf denen mehrere Autoren tätig sind, sollten diesen Patch installieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Wissenschaft
LHC hat drei neue exotische Teilchen entdeckt

Der sogenannte Teilchenzoo der Physik ist noch größer geworden. Die Wissenschaft hofft auf Bestätigung der Modelle zu deren internen Aufbau.

Wissenschaft: LHC hat drei neue exotische Teilchen entdeckt
Artikel
  1. VW.OS: VW-Software soll einfach updatefähig und bezahlbar sein
    VW.OS
    VW-Software soll "einfach updatefähig" und bezahlbar sein

    Mit seiner Softwaresparte Cariad will VW ein einheitliches System mit vereinfachter Architektur erstellen.

  2. Security: BSI beginnt Zertifizierung für 5G-Komponenten
    Security
    BSI beginnt Zertifizierung für 5G-Komponenten

    Eine schnelle und zuverlässige IT-Sicherheitsaussage für die geprüften Produkte, das verspricht das BSI. Doch welche Produkte sind betroffen?

  3. Superior Continuous Torque: E-Motor von Mahle für Dauerbetrieb unter Stress
    Superior Continuous Torque
    E-Motor von Mahle für Dauerbetrieb unter Stress

    Mahle hat einen neuen Auto-Elektromotor entwickelt, der unbegrenzt lange unter hoher Last betrieben werden kann. Dies wird durch ein neues Kühlkonzept im Motor erreicht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • HP HyperX Gaming-Headset -40% • Corsair Wakü 234,90€ • Samsung Galaxy S20 128GB -36% • Audible -70% • MSI RTX 3080 12GB günstig wie nie: 948€ • AMD Ryzen 7 günstig wie nie: 259€ • Der beste 2.000€-Gaming-PC • CM 34" UWQHD 144 Hz günstig wie nie: 467,85€ [Werbung]
    •  /