Abo
  • Services:

Cross-Site-Scripting: Kritische Wordpress-Lücke betrifft 86 Prozent der Seiten

Das schwerste Sicherheitsproblem seit 2009: Über manipulierte Kommentare könnten Angreifer eine Wordpress-Installation übernehmen. Millionen von Seiten sind weltweit gefährdet.

Artikel veröffentlicht am ,
Die Texturize-Funktion erlaubt Angreifern das Ausführen von Schadcode in Wordpress-Installationen.
Die Texturize-Funktion erlaubt Angreifern das Ausführen von Schadcode in Wordpress-Installationen. (Bild: Klikki.fi)

Eine schwere Sicherheitslücke in der Blogging-Software Wordpress gefährdet Millionen von Seiten im Internet. Wie der finnische Sicherheitsexperte Jouko Pynnonen berichtete, erlaubt die Lücke das Einschleusen von schädlichem Javascript-Code über Kommentarfelder. Anfällig für dieses Cross-Site-Scripting (XSS) sind demnach die Versionen 3.0 bis 3.9.2, die derzeit noch 86 Prozent der im Einsatz befindlichen Installationen betreffen. Die aktuellen Versionen ab 4.0 sind nicht angreifbar. Wordpress hat dennoch ein umfangreiches Sicherheitsupdate veröffentlicht, das auch weitere Lücken schließt.

Stellenmarkt
  1. Visteon Electronics Germany GmbH, Karlsruhe
  2. connect IT-Solutions GmbH, Darmstadt

Laut Pynnonen ist der eingeschleuste Code zunächst nicht sichtbar. Wenn ein Administrator den entsprechenden Kommentar freischalten wolle, weil dieser beispielsweise Links enthalte, könnte der Code mit Administratorrechten ausgeführt werden. Dies erlaube beispielsweise die unbemerkte Änderung des Administratorpassworts, das Anlegen eines neuen Administratoraccounts oder das Ablegen von PHP-Code auf dem Server mit Hilfe des Plugin-Editors. Per Ajax-Anfrage könnte dabei sogar Zugriff auf das Betriebssystem des Servers erlangt werden. Dies alles mache aus der Lücke die schwerste Verwundbarkeit von Wordpress seit 2009, schreibt Pynnonen in einem weiteren Beitrag.

Auch WP-Statistics betroffen

Der Code wird noch nicht ausgeführt, wenn nur die Übersichtsseite der Kommentare aufgerufen wird. Wird der Kommentar allerdings freigeschaltet, betrifft er sämtliche Wordpress-Nutzer mit den entsprechenden Rechten. Ermöglicht wird die Lücke dabei durch die Formatierungsfunktion wptexturize(). Die Funktion, mit der beispielsweise Sonderzeichen automatisch ausgetauscht werden können, lasse sich so verwirren, dass HTML-Tags mit beliebigen Attributen eingefügt werden könnten. Als einfachen Schutz empfiehlt Pynnonen, diese Funktion in der Seite wp-includes/formatting.php zu deaktivieren. Die bessere Lösung sei jedoch der Wordpress-Patch.

Das aktuelle Sicherheitsupdate schließt laut Wordpress drei weitere Lücken durch Cross-Site-Scripting. Auch ein mögliches Cross-Site-Request-Forgery soll damit behoben werden. Das beliebte Plugin WP-Statistics ist ebenfalls von einem XSS-Problem betroffen. Nach Angaben des Sicherheitsexperten Marc-Alexandre Montpas könnte damit ein neuer Admin-Zugang eingerichtet und beispielsweise SEO-Spam in Beiträge eingeschleust werden. Betroffen seien alle Versionen bis 8.3. Eine gepatchte Version 8.3.1 steht inzwischen zur Verfügung. Technische Details zur Lücke sollen in den kommenden Wochen präsentiert werden.



Anzeige
Spiele-Angebote
  1. 4,95€
  2. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€
  3. 19,99€
  4. (-35%) 38,99€

trolling3r 26. Nov 2014

Das Ökosystem von Wordpress ist allen anderen Meilenweit vorraus. Millionen Themes und...

Ninos 24. Nov 2014

Der Rollout der Version 4.0.1 lief schon wenige Minuten nach der Ankündigung...

frostbitten king 24. Nov 2014

Sorry, aber ich hasse die Seiten wo ma nicht mehr per wget was herunterladen kann, bzw...

nudel 24. Nov 2014

Gerade mal in den Papierkorb geschaut, derartige Kommentare habe ich bereits Anfang Juli...


Folgen Sie uns
       


Huawei P20 Pro - Hands on

Huaweis neues Smartphone P20 Pro kommt mit drei Hauptkameras und einer Reihe von KI-Funktionen. Wir haben uns das Gerät in einem ersten Hands on angeschaut.

Huawei P20 Pro - Hands on Video aufrufen
Xperia XZ2 Compact im Test: Sonys kompaktes Top-Smartphone bleibt konkurrenzlos
Xperia XZ2 Compact im Test
Sonys kompaktes Top-Smartphone bleibt konkurrenzlos

Sony konzentriert sich beim Xperia XZ2 Compact erneut auf die alte Stärke der Serie und steckt ein technisch hervorragendes Smartphone in ein kompaktes Gehäuse. Heraus kommt ein kleines Gerät, das kaum Wünsche offenlässt und in dieser Größenordnung im Grunde ohne Konkurrenz ist.
Ein Test von Tobias Költzsch

  1. Xperia XZ2 Premium Sony stellt Smartphone mit lichtempfindlicher Dualkamera vor
  2. Sony Grundrauschen an Gerüchten über die Playstation 5 nimmt zu
  3. Playstation Sony-Chef Kaz Hirai verabschiedet sich mit starken Zahlen

HTC Vive Pro im Test: Das beste VR-Headset ist nicht der beste Kauf
HTC Vive Pro im Test
Das beste VR-Headset ist nicht der beste Kauf

Höhere Auflösung, integrierter Kopfhörer und ein sehr bequemer Kopfbügel: Das HTC Vive Pro macht alles besser und gilt für uns als das beste VR-Headset, das wir bisher ausprobiert haben. Allerdings ist der Preis dafür so hoch, dass kaufen meist keine clevere Entscheidung ist.
Ein Test von Oliver Nickel

  1. SteamVR Tracking 2.0 36 m² Spielfläche kosten 1.400 Euro
  2. VR-Headset HTCs Vive Pro kostet 880 Euro
  3. HTC Vive Pro ausprobiert VR-Headset hat mehr Pixel und Komfort

Datenschutz: Der Nutzer ist willig, doch die AGB sind schwach
Datenschutz
Der Nutzer ist willig, doch die AGB sind schwach

Verbraucher verstehen die Texte oft nicht wirklich, in denen Unternehmen erklären, wie ihre Daten verarbeitet werden. Datenschutzexperten und -forscher suchen daher nach praktikablen Lösungen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Soziales Netzwerk Facebook will in Deutschland Vertrauen wiedergewinnen
  2. Denial of Service Facebook löscht Cybercrime-Gruppen mit 300.000 Mitgliedern
  3. Facebook-Anhörung Zuckerbergs Illusion von der vollen Kontrolle

    •  /