Original-URL des Artikels: https://www.golem.de/news/codeausfuehrung-wordpress-schliesst-sicherheitsluecke-nicht-1806-135182.html    Veröffentlicht: 27.06.2018 15:38    Kurz-URL: https://glm.io/135182

Codeausführung

Wordpress schließt Sicherheitslücke nicht

Eine Sicherheitslücke in Wordpress erlaubt angemeldeten Nutzern, die Installation zu übernehmen und Code auszuführen. Wordpress wusste von dem Problem seit November 2017, hat es aber bisher nicht gefixt.

Die Firma RIPS Technologies hat eine Sicherheitslücke in Wordpress entdeckt. Eine fehlende Validierung von Daten beim Hochladen von Bildern erlaubt es, beliebige Dateien zu löschen. Damit lässt sich mit einem weiteren Trick die gesamte Installation übernehmen.

Karim El Ouerghemmi von RIPS Technologies beschreibt das Sicherheitsproblem in einem Blogpost. Demnach wurde die Lücke bereits im November 2017 über das Bug-Bounty-Programm von Wordpress an dessen Entwickler gemeldet, gefixt wurde sie jedoch bislang nicht.

Installationen mit mehreren Nutzern gefährdet

Ausnutzen lässt sich die Lücke von einem angemeldeten Nutzer, der das Recht hat, Dateien hochzuladen und zu löschen. Betroffen sind also in erster Linie Installationen, auf denen mehrere Personen Editierrechte haben.

Wenn in Wordpress eine Datei - etwa ein hochgeladenes Bild - von einem angemeldeten Nutzer wieder gelöscht wird, dann wird auch das zugehörige Thumbnail entfernt. Das Problem: Der Dateiname des Thumbnails wird beim Hochladen aus einem Formularfeld ausgelesen und ungeprüft in die Datenbank geschrieben. Ein Angreifer kann nun hier einen beliebigen Dateinamen angeben und auch den Pfad manipulieren. Damit lassen sich beliebige Dateien löschen, sofern die Wordpress-Installation darauf Zugriff hat. Ganz banal könnte ein Angreifer also beispielsweise schlicht alle Dateien löschen und eine Webseite unbrauchbar machen.

Die Lücke lässt sich jedoch auch ausnutzen, um Code auf dem Server auszuführen. Dafür löscht man die Konfigurationsdatei von Wordpress (wp-config.php). Wenn ein Wordpress keine Konfigurationsdatei vorfindet, wird die Installationsroutine angeboten - und die erfordert keinerlei Authentifizierung. Ein Angreifer kann also die Installation selbst durchführen, einen von ihm kontrollierten Datenbankserver angeben und anschließend durch die Installation eines Plugins Code ausführen.

Inoffizieller Patch verhindert Angriff

Von Wordpress gibt es bislang keine Informationen zur Lücke. Sie betrifft alle Wordpress-Versionen inklusive der aktuellen Version 4.9.6. RIPS Technologies hat einen vorläufigen, inoffiziellen Patch bereitgestellt. Vor allem Nutzer von Wordpress-Installationen, auf denen mehrere Autoren tätig sind, sollten diesen Patch installieren.  (hab)


Verwandte Artikel:
Datenschutz: Wordpress unterstützt Anforderungen der DSGVO   
(19.05.2018, https://glm.io/134471 )
Bundesrechtsanwaltskammer: Sicherheitsgutachten zum Anwaltspostfach enttäuscht   
(22.06.2018, https://glm.io/135104 )
Drupalgeddon 2: 115.000 Webseiten mit Drupallücken übernommen   
(07.06.2018, https://glm.io/134831 )
DNS Rebinding: Google Home verrät, wo du wohnst   
(19.06.2018, https://glm.io/135032 )
Ende-zu-Ende-Verschlüsselung: Klage gegen Anwaltspostfach eingereicht   
(18.06.2018, https://glm.io/134984 )

© 1997–2021 Golem.de, https://www.golem.de/