• IT-Karriere:
  • Services:

Cross-Site-Scripting: Kritische Wordpress-Lücke betrifft 86 Prozent der Seiten

Das schwerste Sicherheitsproblem seit 2009: Über manipulierte Kommentare könnten Angreifer eine Wordpress-Installation übernehmen. Millionen von Seiten sind weltweit gefährdet.

Artikel veröffentlicht am ,
Die Texturize-Funktion erlaubt Angreifern das Ausführen von Schadcode in Wordpress-Installationen.
Die Texturize-Funktion erlaubt Angreifern das Ausführen von Schadcode in Wordpress-Installationen. (Bild: Klikki.fi)

Eine schwere Sicherheitslücke in der Blogging-Software Wordpress gefährdet Millionen von Seiten im Internet. Wie der finnische Sicherheitsexperte Jouko Pynnonen berichtete, erlaubt die Lücke das Einschleusen von schädlichem Javascript-Code über Kommentarfelder. Anfällig für dieses Cross-Site-Scripting (XSS) sind demnach die Versionen 3.0 bis 3.9.2, die derzeit noch 86 Prozent der im Einsatz befindlichen Installationen betreffen. Die aktuellen Versionen ab 4.0 sind nicht angreifbar. Wordpress hat dennoch ein umfangreiches Sicherheitsupdate veröffentlicht, das auch weitere Lücken schließt.

Stellenmarkt
  1. Allianz Deutschland AG, München Unterföhring
  2. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz

Laut Pynnonen ist der eingeschleuste Code zunächst nicht sichtbar. Wenn ein Administrator den entsprechenden Kommentar freischalten wolle, weil dieser beispielsweise Links enthalte, könnte der Code mit Administratorrechten ausgeführt werden. Dies erlaube beispielsweise die unbemerkte Änderung des Administratorpassworts, das Anlegen eines neuen Administratoraccounts oder das Ablegen von PHP-Code auf dem Server mit Hilfe des Plugin-Editors. Per Ajax-Anfrage könnte dabei sogar Zugriff auf das Betriebssystem des Servers erlangt werden. Dies alles mache aus der Lücke die schwerste Verwundbarkeit von Wordpress seit 2009, schreibt Pynnonen in einem weiteren Beitrag.

Auch WP-Statistics betroffen

Der Code wird noch nicht ausgeführt, wenn nur die Übersichtsseite der Kommentare aufgerufen wird. Wird der Kommentar allerdings freigeschaltet, betrifft er sämtliche Wordpress-Nutzer mit den entsprechenden Rechten. Ermöglicht wird die Lücke dabei durch die Formatierungsfunktion wptexturize(). Die Funktion, mit der beispielsweise Sonderzeichen automatisch ausgetauscht werden können, lasse sich so verwirren, dass HTML-Tags mit beliebigen Attributen eingefügt werden könnten. Als einfachen Schutz empfiehlt Pynnonen, diese Funktion in der Seite wp-includes/formatting.php zu deaktivieren. Die bessere Lösung sei jedoch der Wordpress-Patch.

Das aktuelle Sicherheitsupdate schließt laut Wordpress drei weitere Lücken durch Cross-Site-Scripting. Auch ein mögliches Cross-Site-Request-Forgery soll damit behoben werden. Das beliebte Plugin WP-Statistics ist ebenfalls von einem XSS-Problem betroffen. Nach Angaben des Sicherheitsexperten Marc-Alexandre Montpas könnte damit ein neuer Admin-Zugang eingerichtet und beispielsweise SEO-Spam in Beiträge eingeschleust werden. Betroffen seien alle Versionen bis 8.3. Eine gepatchte Version 8.3.1 steht inzwischen zur Verfügung. Technische Details zur Lücke sollen in den kommenden Wochen präsentiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

trolling3r 26. Nov 2014

Das Ökosystem von Wordpress ist allen anderen Meilenweit vorraus. Millionen Themes und...

Ninos 24. Nov 2014

Der Rollout der Version 4.0.1 lief schon wenige Minuten nach der Ankündigung...

frostbitten king 24. Nov 2014

Sorry, aber ich hasse die Seiten wo ma nicht mehr per wget was herunterladen kann, bzw...

nudel 24. Nov 2014

Gerade mal in den Papierkorb geschaut, derartige Kommentare habe ich bereits Anfang Juli...


Folgen Sie uns
       


Core i7-1185G7 (Tiger Lake) im Test: Gut gebrüllt, Intel
Core i7-1185G7 (Tiger Lake) im Test
Gut gebrüllt, Intel

Dank vier äußerst schneller CPU-Kerne und überraschend flotter iGPU gibt Tiger Lake verglichen zu AMDs Ryzen 4000 eine gute Figur ab.
Ein Test von Marc Sauter

  1. Tiger Lake Überblick zu Intels 11th-Gen-Laptops
  2. Project Athena 2.0 Evo-Ultrabooks gibt es nur mit Windows 10
  3. Ultrabook-Chip Das kann Intels Tiger Lake

Beoplay H95 im Test: Toller Klang, aber für 800 Euro zu schwache ANC-Leistung
Beoplay H95 im Test
Toller Klang, aber für 800 Euro zu schwache ANC-Leistung

Der Beoplay H95 ist ein ANC-Kopfhörer mit einem tollen Klang. Aber wer dafür viel Geld ausgibt, muss sich mit einigen Kompromissen abfinden.
Ein Test von Ingo Pakalski


    Crysis Remastered im Technik-Test: But can it run Crysis? Yes!
    Crysis Remastered im Technik-Test
    But can it run Crysis? Yes!

    Die PC-Version von Crysis Remastered wird durch die CPU limitiert, dafür ist die Sichtweite extrem und das Hardware-Raytracing aktiv.
    Ein Bericht von Marc Sauter

    1. Systemanforderungen Crysis Remastered reicht GTX 1660 Ti
    2. Crytek Crysis Remastered erscheint mit Raytracing
    3. Crytek Crysis Remastered nach Kritik an Trailer verschoben

      •  /