Abo
  • Services:

Wordpress: Defektes Plugin erlaubt Admin-Zugriff

Das Wordpress-Plugin Custom Contacts Form hat einen Fehler, der es Angreifern erlaubt, administrative Rechte über eine Webseite zu erhalten. Es gibt bereits einen Patch.

Artikel veröffentlicht am ,
Über einen schweren Fehler im Wordpress-Plugin Custom Contacts Form erhält ein Angreifer Adminrechte auf eine Webseite.
Über einen schweren Fehler im Wordpress-Plugin Custom Contacts Form erhält ein Angreifer Adminrechte auf eine Webseite. (Bild: Sucuri)

Ein kritischer Fehler im Wordpress-Plugin Custom Contacts Form ermöglicht es Angreifern, sich administrative Rechte zu der gesamten Wordpress-Seite eines Anwenders zu verschaffen. Inzwischen haben die Entwickler einen Patch für das Plugin bereitgestellt. Die Versionsnummer des reparierten Plugins lautet 5.1.0.4 und lässt sich von der Plugin-Webseite des Wordpress-Projekts herunterladen.

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart, Esslingen
  2. eco Verband der Internetwirtschaft e.V., Köln

Der Fehler im Plugin erlaubt Angreifern den Zugriff auf die Datenbank einer Wordpress-Installation. Sie kann heruntergeladen, verändert und wieder hochgeladen werden. In der Datenbank ist auch die Benutzerverwaltung einer Wordpress-Installation gespeichert. Sie lässt sich von Angreifern manipulieren, die sich dann durch die veränderten Rechte einen vollständigen Zugriff auf die Wordpress-Installation verschaffen können. Über die kompromittierten Webseiten lässt sich auch Schadsoftware an Besucher verteilen und dieser Vorgang etwa über Sicherheitslücken in Browsern oder dem Flashplayer vereinfachen.

Schwierige Kontaktaufnahme

Die Firma Sucuri hatte die Schwachstelle entdeckt und den Entwicklern des Plugins sofort gemeldet. Nachdem sie mehrere Wochen lang keine Antwort erhielten, wandte sich Sucuri an das Security-Team von Wordpress, dem es dann gelang, die Plugin-Entwickler zu kontaktieren. Laut Sucuri wurde Custom Contacts Form mehr als 600.000-mal heruntergeladen und installiert.

Fehlerhafte Plugins in Wordpress bleiben ein großes Problem, allein schon wegen ihrer großen Zahl. Erst kürzlich hatte Sucuri einen Angriff auf Wordpress-Webseiten über das Plugin Mailpoet entdeckt. Ein Fehler in dem Plugin erlaubte ebenfalls die volle Kontrolle über eine Wordpress-Webseite.



Anzeige
Blu-ray-Angebote
  1. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

Warpenstein 08. Aug 2014

Da steht man dann aber auf dem Punkt, dass man Plugins mit z.B. LUA schreiben muss und...


Folgen Sie uns
       


Macbook Air 2018 - Test

Nach mehreren Jahren spendiert Apple dem Macbook Air ein neues Gehäuse. Trotzdem ist es keine Referenz mehr für Kompaktheit und Gewicht. Das Notebook kann durch andere Dinge trotzdem überzeugen.

Macbook Air 2018 - Test Video aufrufen
Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

IMHO: Valves Ka-Ching mit der Brechstange
IMHO
Valves "Ka-Ching" mit der Brechstange

Es klingelt seit Jahren in den Kassen des Unternehmens von Gabe Newell. Dabei ist die Firma tief verschuldet - und zwar in den Herzen der Gamer.
Ein IMHO von Michael Wieczorek

  1. Artifact im Test Zusammengewürfelt und potenziell teuer
  2. Artifact Erste Kritik an Kosten von Valves Sammelkartenspiel
  3. Virtual Reality Valve arbeitet an VR-Headset und Half-Life-Titel

Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
Resident Evil 2 angespielt
Neuer Horror mit altbekannten Helden

Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
Von Peter Steinlechner

  1. Resident Evil Monster und Mafia werden neu aufgelegt

    •  /