Schwerstes Sicherheitsproblem in WordPress seit 2009

Posted by GSL-Team - 24. November 2014 - News, Sicherheit - No Comments

Millionen Seiten im Internet sind durch eine gravierende Sicherheitslücke in der Blog- und CMS-Software WordPress gefährdet. Der finnische Sicherheitsexperte Jouko Pynnonen berichtete, dass die Lücke das Einschleusen von schädlichem Javascript-Code über Kommentarfelder erlaubt. Das wird im Wesentlichen durch die Formatierungsfunktion wptexturize() ermöglicht.

Diese Cross-Site-Scripting (XSS)-Lücke findet sich danach in den Versionen 3.0 bis 3.9.2, die heute noch 86 Prozent der aktiven Installationen abdecken. Die aktuelleren Versionen ab 4.0 sind hingegen nicht angreifbar. Trotzdem hat WordPress ein umfangreiches Sicherheitsupdate veröffentlicht, das auch andere gefährliche Lücken schließt.

Eine genauere Beschreibung der Arbeitsweise finden Sie auch bei Golem.

 

No comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kommentarlinks könnten nofollow frei sein.