Cross-Site-Scripting: Kritische Wordpress-Lücke betrifft 86 Prozent der Seiten

Das schwerste Sicherheitsproblem seit 2009: Über manipulierte Kommentare könnten Angreifer eine Wordpress-Installation übernehmen. Millionen von Seiten sind weltweit gefährdet.

Artikel veröffentlicht am ,
Die Texturize-Funktion erlaubt Angreifern das Ausführen von Schadcode in Wordpress-Installationen.
Die Texturize-Funktion erlaubt Angreifern das Ausführen von Schadcode in Wordpress-Installationen. (Bild: Klikki.fi)

Eine schwere Sicherheitslücke in der Blogging-Software Wordpress gefährdet Millionen von Seiten im Internet. Wie der finnische Sicherheitsexperte Jouko Pynnonen berichtete, erlaubt die Lücke das Einschleusen von schädlichem Javascript-Code über Kommentarfelder. Anfällig für dieses Cross-Site-Scripting (XSS) sind demnach die Versionen 3.0 bis 3.9.2, die derzeit noch 86 Prozent der im Einsatz befindlichen Installationen betreffen. Die aktuellen Versionen ab 4.0 sind nicht angreifbar. Wordpress hat dennoch ein umfangreiches Sicherheitsupdate veröffentlicht, das auch weitere Lücken schließt.

Stellenmarkt
  1. Configuration Manager (m/w/d)
    Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), verschiedene Standorte
  2. Web Frontend Developer (m/w/d)
    Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München, Regensburg
Detailsuche

Laut Pynnonen ist der eingeschleuste Code zunächst nicht sichtbar. Wenn ein Administrator den entsprechenden Kommentar freischalten wolle, weil dieser beispielsweise Links enthalte, könnte der Code mit Administratorrechten ausgeführt werden. Dies erlaube beispielsweise die unbemerkte Änderung des Administratorpassworts, das Anlegen eines neuen Administratoraccounts oder das Ablegen von PHP-Code auf dem Server mit Hilfe des Plugin-Editors. Per Ajax-Anfrage könnte dabei sogar Zugriff auf das Betriebssystem des Servers erlangt werden. Dies alles mache aus der Lücke die schwerste Verwundbarkeit von Wordpress seit 2009, schreibt Pynnonen in einem weiteren Beitrag.

Auch WP-Statistics betroffen

Der Code wird noch nicht ausgeführt, wenn nur die Übersichtsseite der Kommentare aufgerufen wird. Wird der Kommentar allerdings freigeschaltet, betrifft er sämtliche Wordpress-Nutzer mit den entsprechenden Rechten. Ermöglicht wird die Lücke dabei durch die Formatierungsfunktion wptexturize(). Die Funktion, mit der beispielsweise Sonderzeichen automatisch ausgetauscht werden können, lasse sich so verwirren, dass HTML-Tags mit beliebigen Attributen eingefügt werden könnten. Als einfachen Schutz empfiehlt Pynnonen, diese Funktion in der Seite wp-includes/formatting.php zu deaktivieren. Die bessere Lösung sei jedoch der Wordpress-Patch.

Das aktuelle Sicherheitsupdate schließt laut Wordpress drei weitere Lücken durch Cross-Site-Scripting. Auch ein mögliches Cross-Site-Request-Forgery soll damit behoben werden. Das beliebte Plugin WP-Statistics ist ebenfalls von einem XSS-Problem betroffen. Nach Angaben des Sicherheitsexperten Marc-Alexandre Montpas könnte damit ein neuer Admin-Zugang eingerichtet und beispielsweise SEO-Spam in Beiträge eingeschleust werden. Betroffen seien alle Versionen bis 8.3. Eine gepatchte Version 8.3.1 steht inzwischen zur Verfügung. Technische Details zur Lücke sollen in den kommenden Wochen präsentiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


trolling3r 26. Nov 2014

Das Ökosystem von Wordpress ist allen anderen Meilenweit vorraus. Millionen Themes und...

Ninos 24. Nov 2014

Der Rollout der Version 4.0.1 lief schon wenige Minuten nach der Ankündigung...

frostbitten king 24. Nov 2014

Sorry, aber ich hasse die Seiten wo ma nicht mehr per wget was herunterladen kann, bzw...

nudel 24. Nov 2014

Gerade mal in den Papierkorb geschaut, derartige Kommentare habe ich bereits Anfang Juli...



Aktuell auf der Startseite von Golem.de
Kids für Alexa im Test
Alexa, wer hat den Kindermodus verbockt?

Amazon bietet neuerdings einen speziellen Kindermodus für Alexa. Das soll Eltern in Sicherheit wiegen, die sollten sich aber besser nicht darauf verlassen.
Ein Test von Ingo Pakalski

Kids für Alexa im Test: Alexa, wer hat den Kindermodus verbockt?
Artikel
  1. Ada Lovelace: Nvidia senkt Preise für Geforce RTX 4080 und RTX 4090
    Ada Lovelace
    Nvidia senkt Preise für Geforce RTX 4080 und RTX 4090

    Kurz vor dem Launch der AMD-Konkurrenz passt Nvidia die Preise der eigenen Grafikkarten an. Das liegt auch an einem stärkeren Euro.

  2. Bundesarbeitsgericht: Arbeitgeber müssen Arbeitszeiten zwingend erfassen
    Bundesarbeitsgericht
    Arbeitgeber müssen Arbeitszeiten zwingend erfassen

    Das vollständige Urteil des BAG zur Arbeitszeiterfassung liegt nun vor. Diese muss zwingend erfolgen, aber nicht unbedingt elektronisch.

  3. Microsoft: Xbox-Spiele werden teurer
    Microsoft
    Xbox-Spiele werden teurer

    Das erste betroffene Spiel dürfte Redfall oder Forza Motorsport 8 sein: Microsoft erhöht den Preis seiner Eigenproduktionen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Amazon Last Minute Angebote: Games & Zubehör, AVM-Router • Saturn-Weihnachts-Hits: Rabatt-Angebote aus allen Kategorien • Tiefstpreise: Intel Core i7-13700K & AMD Ryzen 5 5600X • PS5 Disc Edition inkl. GoW Ragnarök wieder vorbestellbar bei Amazon 619€ • ViewSonic 32" WQHD/144 Hz 229,90€ [Werbung]
    •  /