Cross-Site-Scripting: Offene Sicherheitslücke in Wordpress

Eine Cross-Site-Scripting-Sicherheitslücke gefährdet Nutzer von Wordpress-Blogs. Einen Fix gibt es noch nicht. Laut dem Entdecker der Lücke wurden seine Warnungen von Wordpress ignoriert.

Artikel veröffentlicht am , Hanno Böck
Überlange Wordpress-Kommentare ermöglichen Cross-Site-Scripting-Angriffe.
Überlange Wordpress-Kommentare ermöglichen Cross-Site-Scripting-Angriffe. (Bild: Screenshot)

Der finnische IT-Sicherheitsspezialist Jouko Pynnönen hat am 26. April auf der Mailingliste Full Disclosure Details zu einer Cross-Site-Scripting-Lücke in der Blogsoftware Wordpress veröffentlicht. Mittels eines Kommentars kann ein Nutzer Javascript-Code auf der Seite unterbringen und damit beispielsweise den Zugang eines Administrators übernehmen.

MySQL-Größenbeschränkung ermöglicht Angriff

Stellenmarkt
  1. Anforderungsmanager für Produktkonfiguratoren (gn)
    HORNBACH Baumarkt AG, Bornheim bei Landau / Pfalz
  2. Embedded Systems Developer (m/w/d) - Automation Production Systems
    Fresenius Medical Care, Schweinfurt
Detailsuche

Der Angriff nutzt die Tatsache aus, dass MySQL die Kommentare in einem Feld vom Typ "TEXT" abspeichert. Diese Felder haben eine Größenbeschränkung von 64 Kilobyte. Sendet man einen größeren Kommentar ab, wird dieser zwar von Wordpress entsprechend gefiltert, anschließend wird der Kommentar aber beim Einfügen in die Datenbank abgeschnitten. Dadurch gelingt es, gültigen Javascript-Code an der Filterung vorbei einzufügen.

Besonders dramatisch an dieser Sicherheitslücke ist, dass es im Moment keine Abhilfe gibt. Die aktuelle Version 4.2 von Wordpress ist betroffen. Laut Pynnönen konnte er die Lücke auch in verschiedenen älteren Wordpress-Versionen (3.9.3, 4.1.1, 4.1.2) reproduzieren. Jouko Pynnönen schreibt auf Twitter, dass er seit November versucht hatte, die Wordpress-Entwickler auf dieses Problem hinzuweisen. Weder Wordpress noch das finnische Cert hätten auf seine Warnungen reagiert.

Üblicherweise werden auffällig große Kommentare von Wordpress zunächst moderiert und nicht gleich freigeschaltet. Allerdings können Nutzer, deren Kommentare einmal von Wordpress akzeptiert wurden, künftig weitere derartige Kommentare ohne Moderation posten. Um einen Angriff praktisch durchzuführen, könnte ein Nutzer also einmal einen legitimen Kommentar posten und anschließend den Angriff durchführen. Aktuell können Wordpress-Nutzer sich nur schützen, indem sie unmoderierte Kommentare komplett verbieten, bis ein Fix von Wordpress verfügbar ist.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Docker & Containers - From Zero to Hero
    5.-7. Oktober 2021, online
Weitere IT-Trainings

Cross-Site-Scripting-Angriffe bei Wordpress treten häufig auf

Zuletzt gab es eine ganze Reihe von Angriffen auf Wordpress-Blogs mittels Cross-Site-Scripting. Jouko Pynnönen verweist auf Forenbeiträge, die davon berichten, dass eine andere inzwischen behobene Cross-Site-Scripting-Lücke, die er im November 2014 veröffentlicht hatte, aktiv ausgenutzt wird.

Ein Blogeintrag der Firma Cloudflare berichtete kürzlich, dass in Phishing-Mails versucht wurde, mittels gehackter Wordpress-Blogs Cloudflare-Accounts zu übernehmen. Zum Zeitpunkt des Blogbeitrags war Wordpress 4.1.1 aktuell, einige der betroffenen Wordpress-Blogs nutzten diese Version. Die Cloudflare-Mitarbeiter vermuteten, dass hier eine zum damaligen Zeitpunkt unbekannte Cross-Site-Scripting-Lücke ausgenutzt wurde. In Wordpress 4.1.2 wurde eine Cross-Site-Scripting-Lücke behoben. Ob es sich um dieselbe Lücke handelt, ist nicht bekannt.

Auch Plugins anfällig

Auch Wordpress-Plugins sind häufig ein Grund für Sicherheitslücken. Vor wenigen Tagen wurde bekannt, dass zahlreiche populäre Wordpress-Plugins eine Funktion der Wordpress-API falsch genutzt hatten und dadurch ebenfalls Cross-Site-Scripting-Angriffe möglich wurden.

Nachtrag vom 27. April 2015, 16:56 Uhr

Da nach wie vor kein offizieller Fix von Wordpress bereitsteht, haben wir einen kleinen Patch geschrieben, der die XSS-Lücke schließt. Wordpress-Nutzer können diesen vorübergehend nutzen, bis ein offizielles Update bereitsteht.

Nachtrag vom 27. April 2015, 23:01 Uhr

Inzwischen gibt es von Wordpress ein offizielles Update. Die Version 4.2.1 schließt die Sicherheitslücke, auch für ältere Versionszweige wurden neue Versionen veröffentlicht. Dank der Auto-Update-Funktion von Wordpress erhalten die meisten Nutzer das Update automatisch.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Frommer Legal
Große Abmahnwelle wegen Filesharing in Deutschland

Mehrere Zehntausend Menschen suchen derzeit Hilfe bei einer Anwaltskanzlei, weil sie wegen angeblich illegalem Filesharing abgemahnt wurden.

Frommer Legal: Große Abmahnwelle wegen Filesharing in Deutschland
Artikel
  1. Autonomes Fahren: Amazon kauft Systeme für selbstfahrende Lkw
    Autonomes Fahren
    Amazon kauft Systeme für selbstfahrende Lkw

    Der Internetkonzern Amazon will in ein Startup für autonomes Fahren investieren.

  2. Kim Schmitz' Lebensgeschichte: Die Dotcom-Blase
    Kim Schmitz' Lebensgeschichte
    Die Dotcom-Blase

    Glaubt man seiner Autobiografie, wollte Kim Schmitz als Jugendlicher einfach nur raus aus seinem Leben. Also schuf er sich ein neues: als Kim Dotcom.
    Von Stephan Skrobisch

  3. Plingstore: Gefährliche Sicherheitslücken in Linux-Appstores
    Plingstore
    Gefährliche Sicherheitslücken in Linux-Appstores

    Der KDE-Store und andere Linux-Appstores haben eine schwere Sicherheitslücke. Es gelang den Findern nicht, dies den Verantwortlichen zu melden.

TheUnichi 04. Mai 2015

Hat nie jemand behauptet.

Ninos 28. Apr 2015

http://codex.wordpress.org/Validating_Sanitizing_and_Escaping_User_Data#Escaping...

zZz 27. Apr 2015

Für die Software Dokumentation hosten wir statische Seiten auf GitHub. Die Original-Doku...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day nur noch heute • SSD (u. a. Samsung 980 Pro 1TB PCIe 4.0 140,19€) • Gaming-Laptops von Razer & MSI • Crucial 32GB Kit 4000MHz 269,79€ • 30% auf Warehouse • Surface Pro 7 664,05€ • Monitore (u. a. Acer 27" WQHD 144Hz 259€) • Gaming-Chairs • Gönn dir Dienstag [Werbung]
    •  /