cool IT Team-Blog

Große Sicherheitslücke in Wordpress

Vor kurzem kam die wahrscheinlich größte Lücke in der weit verbreiteten CMS-Lösung „Wordpress“ ans Licht. Aufgrund dieser Lücke ist es Hackern möglich, über Kommentarfelder einer Seite, mit Hilfe von Cross-Site-Scripting (XSS) an Administratorenrechte zu kommen.

Das Script wird als Kommentar abgesetzt und, sobald der Administrator diesen Kommentar freigibt, ausgeführt. Im Hintergrund werden dann zum Beispiel das Administratoren Kennwort geändert oder ein neuer Account angelegt.

Grund für diese Lücke ist die Formatierungsfunktion wptexturize().

Wer ist betroffen?

Zu den betroffen Systemen zählen
·         WordPress 4.0
·         WordPress 3.9.2 und frühere, unterstützte Versionen
 

Was kann ich tun?

Zur Lösung des Problems gibt es folgende Wege:

Ein Update machen
Ein Update auf die gefixten Versionen 4.0.1, 3.9.3, 3.8.5, 3.7.5
 
Folgendes Plugin installieren
Sicherheitsexperte Jouko Pynnonen hat ein Plugin entwickelt welches die Lücke schließt
http://klikki.fi/unquote/


Es wird jedoch empfohlen ein Update zu machen, da dies auch andere Sicherheitslücken schließt.

Gar nicht cool, oder?
Verfasst: 25.11.2014 11:33:07 von Lion Hummer
Tags: Cross-Site-Scripting, Sicherheitslücke, Wordpress

1


Kommentare
Für diesen Blogbeitrag liegen zurzeit keine Kommentare vor.
Einen Kommentar schreiben



 Security code