Schwere Sicherheits-Lücke bei WordPress

Über manipulierte Kommentare könnten Hacker WordPress-Installationen übernehmen. Weltweit sind von dieser Sicherheitslücke Millionen von Seiten gefährdet. Blogger, die das CMS verwenden, sollten unverzüglich das bereit gestellte Update herunterladen. 

 

Worldpress Logo
WordPress Logo

Göttingen, 26.11.2014 – Bei der aktuellen Sicherheitslücke handelt es sich um das größte Sicherheitsproblem bei WordPress seit 5 Jahren. Die Lücke erlaubt das Einschleusen von schädlichem Javascript-Code über Kommentarfelder. Vor allem die Versionen 3.0 bis 3.9.2, die derzeit noch 86 Prozent der im Einsatz befindlichen Installationen betreffen, sind von diesem Cross-Site-Scripting (XSS)betroffen. Die aktuellen Versionen ab 4.0 sind nicht angreifbar, schreibt golem.de.

WordPress hat ein umfassendes Sicherheits-Update zur Installation frei gegeben. Mit der Version 4.0.1 werden auch eine ganze Reihe weiterer Sicherheitslücken geschlossen. Darunter sind drei weitere Sicherheitslücken, die Cross-Site-Scripting ermöglicht haben sollen.

WordPress über Kommentarfunktion angreifbar

Festgestellt hatte die Sicherheitslücke der finnische Sicherheitsexperte Jouko Pynnonen. Wenn ein Administrator den entsprechenden Kommentar mit entsprechenden Links freischaltet, kann der Code mit Administratorrechten ausgeführt werden. Diese Vorgehensweise erlaubt  die unbemerkte Änderung des Administratorpassworts, das Anlegen eines neuen Administratoraccounts oder das Ablegen von PHP-Code auf dem Server mit Hilfe des Plugin-Editors.  Per Ajax-Anfrage könnte dabei sogar Zugriff auf das Betriebssystem des Servers erlangt werden.