Abo
  • Services:
Anzeige
Über einen schweren Fehler im Wordpress-Plugin Custom Contacts Form erhält ein Angreifer Adminrechte auf eine Webseite.
Über einen schweren Fehler im Wordpress-Plugin Custom Contacts Form erhält ein Angreifer Adminrechte auf eine Webseite. (Bild: Sucuri)

Wordpress: Defektes Plugin erlaubt Admin-Zugriff

Das Wordpress-Plugin Custom Contacts Form hat einen Fehler, der es Angreifern erlaubt, administrative Rechte über eine Webseite zu erhalten. Es gibt bereits einen Patch.

Anzeige

Ein kritischer Fehler im Wordpress-Plugin Custom Contacts Form ermöglicht es Angreifern, sich administrative Rechte zu der gesamten Wordpress-Seite eines Anwenders zu verschaffen. Inzwischen haben die Entwickler einen Patch für das Plugin bereitgestellt. Die Versionsnummer des reparierten Plugins lautet 5.1.0.4 und lässt sich von der Plugin-Webseite des Wordpress-Projekts herunterladen.

Der Fehler im Plugin erlaubt Angreifern den Zugriff auf die Datenbank einer Wordpress-Installation. Sie kann heruntergeladen, verändert und wieder hochgeladen werden. In der Datenbank ist auch die Benutzerverwaltung einer Wordpress-Installation gespeichert. Sie lässt sich von Angreifern manipulieren, die sich dann durch die veränderten Rechte einen vollständigen Zugriff auf die Wordpress-Installation verschaffen können. Über die kompromittierten Webseiten lässt sich auch Schadsoftware an Besucher verteilen und dieser Vorgang etwa über Sicherheitslücken in Browsern oder dem Flashplayer vereinfachen.

Schwierige Kontaktaufnahme

Die Firma Sucuri hatte die Schwachstelle entdeckt und den Entwicklern des Plugins sofort gemeldet. Nachdem sie mehrere Wochen lang keine Antwort erhielten, wandte sich Sucuri an das Security-Team von Wordpress, dem es dann gelang, die Plugin-Entwickler zu kontaktieren. Laut Sucuri wurde Custom Contacts Form mehr als 600.000-mal heruntergeladen und installiert.

Fehlerhafte Plugins in Wordpress bleiben ein großes Problem, allein schon wegen ihrer großen Zahl. Erst kürzlich hatte Sucuri einen Angriff auf Wordpress-Webseiten über das Plugin Mailpoet entdeckt. Ein Fehler in dem Plugin erlaubte ebenfalls die volle Kontrolle über eine Wordpress-Webseite.


eye home zur Startseite
Warpenstein 08. Aug 2014

Da steht man dann aber auf dem Punkt, dass man Plugins mit z.B. LUA schreiben muss und...



Anzeige

Stellenmarkt
  1. Dataport, Altenholz bei Kiel
  2. DATAGROUP Business Solutions GmbH, Hamburg
  3. Daimler AG, Berlin
  4. Völkel Mikroelektronik GmbH, Münster (Nordrhein-Westfalen)


Anzeige
Spiele-Angebote
  1. 2,99€
  2. 4,99€
  3. 15,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Atom-Unfall

    WD erweitert Support für NAS mit Intels fehlerhaftem Atom

  2. SecurityWatchScam ID

    T-Mobile blockiert Spam-Anrufe

  3. AT&T

    USA bauen Millionen Glasfaserverbindungen

  4. Super Mario Run

    Nintendo bleibt trotz Enttäuschung beim Bezahlmodell

  5. Samsung

    Galaxy Note 7 wird per Update endgültig lahmgelegt

  6. The Ringed City

    From Software zeigt Abschluss von Dark Souls 3 im Trailer

  7. Dieter Lauinger

    Minister fordert Gesetz gegen Hasskommentare noch vor Wahl

  8. Die Woche im Video

    Cebit wird heiß, Android wird neu, Aliens werden gesprächig

  9. Mobilfunkausrüster

    Welche Frequenzen für 5G in Deutschland diskutiert werden

  10. XMPP

    Bundesnetzagentur will hundert Jabber-Clients regulieren



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mass Effect Andromeda im Test: Zwischen galaktisch gut und kosmischem Kaffeekränzchen
Mass Effect Andromeda im Test
Zwischen galaktisch gut und kosmischem Kaffeekränzchen
  1. Mass Effect Andromeda im Technik-Test Frostbite für alle Rollenspieler
  2. Mass Effect Countdown für Andromeda
  3. Mass Effect 4 Ansel und Early Access für Andromeda

Technik-Kritiker: Jaron Lanier will Facebook zerschlagen
Technik-Kritiker
Jaron Lanier will Facebook zerschlagen
  1. Messenger Facebook sagt "Daumen runter"
  2. Let's Play Facebook ermöglicht Livevideos vom PC
  3. Facebook & Co Bis zu 50 Millionen Euro Geldbuße für Hasskommentare

Forensik Challenge: Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
Forensik Challenge
Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
  1. Reporter ohne Grenzen Verfassungsklage gegen BND-Überwachung eingereicht
  2. Selektorenaffäre BND soll ausländische Journalisten ausspioniert haben
  3. Ex-Verfassungsgerichtspräsident Papier Die Politik stellt sich beim BND-Gesetz taub

  1. Re: 1 Millisekunde

    Eheran | 16:46

  2. Re: "Ein Träumchen!"

    oliver.n.h | 16:39

  3. Re: Nach einem Tag deinstalliert

    Topf | 16:39

  4. Re: Benutzung elektromagnetische Schwingungen

    m9898 | 16:35

  5. Re: inb4 Diskussion

    RheinPirat | 16:22


  1. 14:32

  2. 14:16

  3. 13:00

  4. 15:20

  5. 14:13

  6. 12:52

  7. 12:39

  8. 09:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel