Abo
  • Services:
Anzeige
Über einen schweren Fehler im Wordpress-Plugin Custom Contacts Form erhält ein Angreifer Adminrechte auf eine Webseite.
Über einen schweren Fehler im Wordpress-Plugin Custom Contacts Form erhält ein Angreifer Adminrechte auf eine Webseite. (Bild: Sucuri)

Wordpress: Defektes Plugin erlaubt Admin-Zugriff

Das Wordpress-Plugin Custom Contacts Form hat einen Fehler, der es Angreifern erlaubt, administrative Rechte über eine Webseite zu erhalten. Es gibt bereits einen Patch.

Anzeige

Ein kritischer Fehler im Wordpress-Plugin Custom Contacts Form ermöglicht es Angreifern, sich administrative Rechte zu der gesamten Wordpress-Seite eines Anwenders zu verschaffen. Inzwischen haben die Entwickler einen Patch für das Plugin bereitgestellt. Die Versionsnummer des reparierten Plugins lautet 5.1.0.4 und lässt sich von der Plugin-Webseite des Wordpress-Projekts herunterladen.

Der Fehler im Plugin erlaubt Angreifern den Zugriff auf die Datenbank einer Wordpress-Installation. Sie kann heruntergeladen, verändert und wieder hochgeladen werden. In der Datenbank ist auch die Benutzerverwaltung einer Wordpress-Installation gespeichert. Sie lässt sich von Angreifern manipulieren, die sich dann durch die veränderten Rechte einen vollständigen Zugriff auf die Wordpress-Installation verschaffen können. Über die kompromittierten Webseiten lässt sich auch Schadsoftware an Besucher verteilen und dieser Vorgang etwa über Sicherheitslücken in Browsern oder dem Flashplayer vereinfachen.

Schwierige Kontaktaufnahme

Die Firma Sucuri hatte die Schwachstelle entdeckt und den Entwicklern des Plugins sofort gemeldet. Nachdem sie mehrere Wochen lang keine Antwort erhielten, wandte sich Sucuri an das Security-Team von Wordpress, dem es dann gelang, die Plugin-Entwickler zu kontaktieren. Laut Sucuri wurde Custom Contacts Form mehr als 600.000-mal heruntergeladen und installiert.

Fehlerhafte Plugins in Wordpress bleiben ein großes Problem, allein schon wegen ihrer großen Zahl. Erst kürzlich hatte Sucuri einen Angriff auf Wordpress-Webseiten über das Plugin Mailpoet entdeckt. Ein Fehler in dem Plugin erlaubte ebenfalls die volle Kontrolle über eine Wordpress-Webseite.


eye home zur Startseite
Warpenstein 08. Aug 2014

Da steht man dann aber auf dem Punkt, dass man Plugins mit z.B. LUA schreiben muss und...



Anzeige

Stellenmarkt
  1. Wilken Neutrasoft GmbH, Greven
  2. Robert Bosch GmbH, Leonberg
  3. Giesecke & Devrient 3S GmbH, München
  4. Computacenter AG & Co. oHG, Frankfurt


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. 61,99€

Folgen Sie uns
       


  1. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  2. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  3. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  4. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  5. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  6. Die Woche im Video

    Das muss doch einfach schneller gehen!

  7. Breko

    Waipu TV gibt es jetzt für alle Netzbetreiber

  8. Magento

    Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert

  9. Games

    US-Spielemarkt wächst 2017 zweistellig

  10. Boeing und SpaceX

    ISS bald ohne US-Astronauten?



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames-Rundschau: Krawall mit Knetmännchen und ein Mann im Fass
Indiegames-Rundschau
Krawall mit Knetmännchen und ein Mann im Fass
  1. Games 2017 Die besten Indiespiele des Jahres
  2. Indiegames-Rundschau Von Weltraumpiraten und dem Wunderdoktor

Matthias Maurer: Ein Astronaut taucht unter
Matthias Maurer
Ein Astronaut taucht unter
  1. Planetologie Forscher finden große Eisvorkommen auf dem Mars
  2. SpaceX Geheimer Satellit der US-Regierung ist startklar
  3. Raumfahrt 2017 Wie SpaceX die Branche in Aufruhr versetzt

Nachbarschaftsnetzwerke: Nebenan statt mittendrin
Nachbarschaftsnetzwerke
Nebenan statt mittendrin
  1. Hasskommentare Soziale Netzwerke löschen freiwillig mehr Inhalte
  2. Nextdoor Das soziale Netzwerk für den Blockwart
  3. Hasskommentare Neuer Eco-Chef Süme will nicht mit AfD reden

  1. Re: Funktioniert nicht

    User_x | 03:12

  2. Re: Wenn eMail so kritisch ist....

    User_x | 02:53

  3. Re: "Das Eigenlob Trumps ließ nicht lange auf...

    FreierLukas | 02:48

  4. Re: Supercomputer sind wie Beton - es kommt drauf...

    Proctrap | 02:43

  5. Re: DOW Jones +30% in nur einem Jahr

    Garrona | 02:40


  1. 14:35

  2. 14:00

  3. 13:30

  4. 12:57

  5. 12:26

  6. 09:02

  7. 18:53

  8. 17:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel