Offene Sicherheitslücke in WordPress

WordPress hat in der aktuellen Version 4.2, sowie in mindestens den Versionen 3.9.3, 4.1.1 und 4.1.2 eine kritische Sicherheitslücke [1, 2, 3] . Bedingt durch die Kommentarfunktion können Angreifer Schadcode in die WordPress-Installation einschleusen und diese dann übernehmen. Zur Zeit gibt es noch keinen Patch für diese Lücke.

Bei diesem Angriff wird die Kommentarfunktion missbraucht. Diese prüft nur die ersten 64kb des Kommentars, der restliche Text des Kommentars schafft es dann ungefiltert in die Datenbank. Ein langer Kommentar, der nach den ersten 64kb XSS enthält, wird fortan auf der Seite eingebunden. So kann z.B. die Session des WordPress-Admins übernommen werden.

Sobald die Entwickler einen entsprechenden Patch herausbringen, sollte dieser umgehend installiert werden. Bis dahin ist der  zur Zeit einzige Schutz gegen diese Sicherheitslücke leider lediglich die Deaktivierung der Kommentarfunktion oder die einzelne Freischaltung jedes Kommentars.

Update 01:24 Uhr: Es liegt nun ein Patch für die Sicherheitslücke seitens des Herstellers vor. Bitte aktualisieren Sie Ihr WordPress wie gewohnt über den Administrationsbereich.

Dieser Beitrag wurde unter Allgemein abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.