WordPress kann per Kommentar übernommen werden

Posted by GSL-Team - 27. April 2015 - News, Sicherheit - 1 Comment

Der IT-Sicherheitsspezialist Jouko Pynnönen aus Finnland hat gestern auf der Mailingliste Full Disclosure Details zu einer Cross-Site-Scripting(XSS)-Lücke in der Blogsoftware WordPress veröffentlicht.

Mit einfachen Kommentaren können böswilliger Nutzer durch diese Lücke Javascript-Code auf der Seite unterbringen und damit beispielsweise den Zugang eines Administrators übernehmen.

Im Beitragsbild ist zu sehen, wie einfach man das machen kann. Der Javascript-Code öffnet ein Fenster, in dem dann “hello world” zu lesen ist.

Als angreifbar bekannt sind die WordPress-Versionen 4.2, 4.1.3, 4.1.2, 4.1.1 und 3.9.3 mit MySQL 5.1.53 und 5.5.41.

Bis zum Erscheinen eines Patches kann man sich schützen, indem man die Kommentare einzeln prüft, bevor man sie dann freigibt. Natürlich hilft auch das vollständige Abschalten der Kommentarfunktion als ultimates Mittel gegen das Problem.

 

One comment

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kommentarlinks könnten nofollow frei sein.