Abo
  • IT-Karriere:

Sicherheitslücke: Schadcode per Wordpress-Kommentar

Gleich mehrere Sicherheitslücken kombinierte ein Sicherheitsforscher, um Schadcode in Wordpress ausführen zu können. Die Wordpress-Standardeinstellungen und ein angemeldeter Administrator reichten als Voraussetzung.

Artikel veröffentlicht am ,
Schadcode über die Wordpress-Kommentarfunktion
Schadcode über die Wordpress-Kommentarfunktion (Bild: pixelcreatures/Pixabay)

Über eine Kombination von Sicherheitslücken in Wordpress vor Version 5.1.1 lässt sich die Wordpress-Installation übernehmen und Schadcode ausführen. Voraussetzung für den Angriff sind eine aktivierte Kommentarfunktion sowie ein angemeldeter Wordpress-Benutzer mit Administratorrechten - den ein Angreifer zum Besuch einer Webseite verleiten muss.

Stellenmarkt
  1. Scheer GmbH, Freiburg
  2. censhare AG, München

Entdeckt wurden die Lücken von dem Sicherheitsforscher Simon Scannell. Sie wurden in Version 5.1.1 behoben. Durch die automatische Updatefunktion sollten die meisten Wordpress-Installationen bereits auf dem aktuellen Stand sein. Alternativ kann die Kommentarfunktion deaktiviert werden.

Über einen Cross-Site-Request-Forgery-Angriff (CSRF) kann ein Angreifer Kommentare im Namen eines angemeldeten Benutzers schreiben. Die Kommentarfunktion ist in Wordpress nicht gegen derlei Angriffe geschützt, da andere Wordpress-Seiten mit den Funktionen Trackback und Pingback über eine Verlinkung oder Erwähnung informieren können.

Wordpress lässt in den Kommentaren standardmäßig nur wenige Basis-HTML-Befehle zu - ein Benutzer mit Administratorrechten kann jedoch deutlich mehr HTML-Befehle posten. Über einen Trick gelang es den Sicherheitsforschern hierrüber Java-Script-Schadcode in einem Onmouseover-Befehl unterzubringen. Über eine präparierte Webseite - die der angemeldete Wordpress-Administrator besuchen muss - lässt sich der Kommentar und damit der Schadcode laden. Wordpress erlaubt Benutzern mit Administrator-Rechten das Bearbeiten von PHP-Dateien von Themes und Plugins über das Dashboard. Auf diese Weise lässt sich PHP-Schadcode auf dem Server ausführen.

Wordpress ist oft über installierte Plugins oder Themes verwundbar. Im November wurde eine Sicherheitslücke im DSGVO-Plugin WP GDPR Compliance entdeckt, über die Angreifer Administratoren-Konten registrieren konnten.



Anzeige
Hardware-Angebote
  1. 349,00€
  2. 239,00€

ML82 15. Mär 2019

genau, so sehr standard, dass man dafür dann wieder antispam plugins braucht ... was der...


Folgen Sie uns
       


Wolfenstein Youngblood angespielt

Zwillinge im Kampf gegen das Böse: Im Actionspiel Wolfenstein Youngblood müssen sich Jess und Soph Blazkowicz mit dem Regime anlegen.

Wolfenstein Youngblood angespielt Video aufrufen
Ryzen 3900X/3700X im Test: AMDs 7-nm-CPUs lassen Intel hinter sich
Ryzen 3900X/3700X im Test
AMDs 7-nm-CPUs lassen Intel hinter sich

Das beste Prozessor-Design seit dem Athlon 64: Mit den Ryzen 3000 alias Matisse bringt AMD sehr leistungsstarke und Energie-effiziente CPUs zu niedrigen Preisen in den Handel. Obendrein laufen die auch auf zwei Jahre alten sowie günstigen Platinen mit schnellem DDR4-Speicher.
Ein Test von Marc Sauter

  1. Ryzen 3000 BIOS-Updates schalten PCIe Gen4 für ältere Boards frei
  2. Mehr Performance Windows 10 v1903 hat besseren Ryzen-Scheduler
  3. Picasso für Sockel AM4 AMD verlötet Ryzen 3400G für flottere iGPU

LEDs: Schlimmes Flimmern
LEDs
Schlimmes Flimmern

LED-Licht zu Hause oder im Auto leuchtet nur selten völlig konstant. Je nach Frequenz und Intensität kann das Flimmern der Leuchtmittel problematisch sein, für manche Menschen sogar gesundheitsschädlich.
Von Wolfgang Messer

  1. Wissenschaft Schadet LED-Licht unseren Augen?
  2. Straßenbeleuchtung Detroit kämpft mit LED-Ausfällen und der Hersteller schweigt
  3. ULED Ubiquitis Netzwerkleuchten bieten Wechselstromversorgung

Wizards Unite im Test: Harry Potter Go mit Startschwierigkeiten
Wizards Unite im Test
Harry Potter Go mit Startschwierigkeiten

Der ganz große Erfolg ist das in der Welt von Harry Potter angesiedelte Wizards Unite bislang nicht. Das dürfte mit dem etwas zähen Einstieg zusammenhängen - Muggel mit Durchhaltevermögen werden auf den Straßen dieser Welt aber durchaus mit Spielspaß belohnt.
Von Peter Steinlechner

  1. Pokémon Go mit Harry Potter Magische Handy-Jagd auf Dementoren

    •  /