Sicherheitslücke: Schadcode per Wordpress-Kommentar

Gleich mehrere Sicherheitslücken kombinierte ein Sicherheitsforscher, um Schadcode in Wordpress ausführen zu können. Die Wordpress-Standardeinstellungen und ein angemeldeter Administrator reichten als Voraussetzung.

Artikel veröffentlicht am ,
Schadcode über die Wordpress-Kommentarfunktion
Schadcode über die Wordpress-Kommentarfunktion (Bild: pixelcreatures/Pixabay)

Über eine Kombination von Sicherheitslücken in Wordpress vor Version 5.1.1 lässt sich die Wordpress-Installation übernehmen und Schadcode ausführen. Voraussetzung für den Angriff sind eine aktivierte Kommentarfunktion sowie ein angemeldeter Wordpress-Benutzer mit Administratorrechten - den ein Angreifer zum Besuch einer Webseite verleiten muss.

Stellenmarkt
  1. Netzwerkadministrator*in Operational Technology
    SCHOTT AG, Mainz
  2. Scrum Master Mechatronische Fahrwerksysteme (m/w/d)
    Schaeffler Technologies AG & Co. KG, Herzogenaurach
Detailsuche

Entdeckt wurden die Lücken von dem Sicherheitsforscher Simon Scannell. Sie wurden in Version 5.1.1 behoben. Durch die automatische Updatefunktion sollten die meisten Wordpress-Installationen bereits auf dem aktuellen Stand sein. Alternativ kann die Kommentarfunktion deaktiviert werden.

Über einen Cross-Site-Request-Forgery-Angriff (CSRF) kann ein Angreifer Kommentare im Namen eines angemeldeten Benutzers schreiben. Die Kommentarfunktion ist in Wordpress nicht gegen derlei Angriffe geschützt, da andere Wordpress-Seiten mit den Funktionen Trackback und Pingback über eine Verlinkung oder Erwähnung informieren können.

Wordpress lässt in den Kommentaren standardmäßig nur wenige Basis-HTML-Befehle zu - ein Benutzer mit Administratorrechten kann jedoch deutlich mehr HTML-Befehle posten. Über einen Trick gelang es den Sicherheitsforschern hierrüber Java-Script-Schadcode in einem Onmouseover-Befehl unterzubringen. Über eine präparierte Webseite - die der angemeldete Wordpress-Administrator besuchen muss - lässt sich der Kommentar und damit der Schadcode laden. Wordpress erlaubt Benutzern mit Administrator-Rechten das Bearbeiten von PHP-Dateien von Themes und Plugins über das Dashboard. Auf diese Weise lässt sich PHP-Schadcode auf dem Server ausführen.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
Weitere IT-Trainings

Wordpress ist oft über installierte Plugins oder Themes verwundbar. Im November wurde eine Sicherheitslücke im DSGVO-Plugin WP GDPR Compliance entdeckt, über die Angreifer Administratoren-Konten registrieren konnten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Akkutechnik und E-Mobilität
Natrium-Ionen-Akkus werden echte Lithium-Alternative

Faradion und der Tesla-Zulieferer CATL produzieren erste Natrium-Ionen-Akkus mit der Energiedichte von LFP. Sie sind kälteresistenter, sicherer und lithiumfrei.
Von Frank Wunderlich-Pfeiffer

Akkutechnik und E-Mobilität: Natrium-Ionen-Akkus werden echte Lithium-Alternative
Artikel
  1. Reverse Engineering: Facebook will Deep Fakes erkennen und zurückverfolgen
    Reverse Engineering
    Facebook will Deep Fakes erkennen und zurückverfolgen

    Echte Bilder haben Eigenschaften, die etwa die genutzte Kamera verraten. Facebook will Ähnliches nun auch bei Deep-Fake-Bildern erkennen können.

  2. Windows-Dialoge: Überreste von Windows 3.1 in Windows 11 entdeckt
    Windows-Dialoge
    Überreste von Windows 3.1 in Windows 11 entdeckt

    Windows-Dialoge aus der Zeit von Windows 3.1 sind auch in Windows 11 noch zu sehen.

  3. Echtzeit-Strategie: Alle Völker von Age of Empires 4 vorgestellt
    Echtzeit-Strategie
    Alle Völker von Age of Empires 4 vorgestellt

    Jetzt liegen Details über alle Völker und Kampagnen des Echtzeit-Strategiespiels Age of Empires 4 vor - im Oktober 2021 beginnt der Kampf.

Anonymer Nutzer 15. Mär 2019

genau, so sehr standard, dass man dafür dann wieder antispam plugins braucht ... was der...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport: bis zu 70% Rabatt (u. a. WD Black SN750 1TB 109,90€) • GP Anniversary Sale - Teil 4: Indie & Arcade • Weekend Deals (u. a. Seagate ext. HDD 4TB 89,90€) • 10% auf Gaming-Produkte bei Ebay (u. a. AMD Ryzen 7 5800X 350,91€) [Werbung]
    •  /