Blog-Software Sicherheitslücke in vielen Wordpress-Versionen entdeckt

Attacken über die Kommentarfelder: Eine Sicherheitslücke in der Blog-Software Wordpress ermöglicht es Angreifern, schädlichen Javascript-Code einzuschleusen. Ein Software-Update ist bereits verfügbar.

Wordpress-Logo: Lieber schnell die neue Version installieren

Wordpress-Logo: Lieber schnell die neue Version installieren


Über 80 Prozent der derzeit genutzten Wordpress-Installationen sind durch eine Sicherheitslücke gefährdet - und das vermutlich seit Langem. Der Sicherheitsexperte Jouko Pynnonen warnt auf seiner Website vor einem sogenannten Cross-Site-Scripting (XSS), einem Angriff, für den die Versionen 3.0 bis 3.9.2 anfällig sein sollen. Mit Version 4.0 und 4.0.1 dagegen sei man vor der Attacke gewappnet, bei der unter bestimmten Umständen schädlicher Javascript-Code ausgeführt wird. Das Problem hängt Pynnonen zufolge mit der Formatierungsfunktion wptexturize von Wordpress zusammen, die sich aber auf Wunsch abschalten lässt.

Wordpress hat bereits Donnerstag bestätigt, dass es die Sicherheitslücke gibt, und ein Update veröffentlicht, das diese und weitere Lücken schließt. Die Installation des Updates auf Version 4.0.1 wird Nutzern älterer Wordpress-Versionen dringend empfohlen.

Eingeschleust wird der Code Pynnonens Beschreibung zufolge mithilfe der Kommentarfelder. Sobald ein Wordpress-Administrator einen entsprechenden Kommentar freischaltet - was zum Beispiel nötig ist, wenn der Kommentar Links enthält -, wird der Code ausführt. Infolgedessen kann es beispielsweise passieren, dass das Administratoren-Passwort geändert oder ein neuer Administratoren-Account angelegt wird. All das läuft im Hintergrund ab, so dass der Nutzer im Regelfall erst später mitbekommt, was geschehen ist.

Ein reines Aufrufen der Kommentar-Übersichtsseite soll noch nicht dafür sorgen, dass der Code ausgeführt wird, schreibt Pynnonen. Der Finne hat die Sicherheitslücke im September an Wordpress gemeldet, er bezeichnet sie als schwerste Lücke seit fünf Jahren.

mbö

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 1 Beitrag
Alle Kommentare öffnen
Seite 1
TICKundTOOF 24.11.2014
1. Autoupdate
Das Autoupdate von Wordpress kam die letzten Tage schon bei allen meinen Installationen an. Viel schlimmer als solche Lücken sind die Admins, die keine Ahnung haben. Habe z.B. von einem Bekannten die Administration seiner Joomla Seite übernommen, zuvor hat das eine regionale Internetagentur gemacht. Und was sieht man da? Bei einer Migration vor 2,5 Jahren hatten sie für FTP/Webspace Accounts mit Passwort 123456 eingerichtet und irgendwann wurden dann diverse Subdomains alle defaced, also "gehackt". Anstatt einer Datenbank gab es 5 mit so Namen wie "DB neu nicht löschen", "Website 2012", "sicherrung", "backup", "*anderer Seitenname*". Das hat damals mehrere Tausend Euro gekostet... Und die Seite ist so schwach gemacht, anstatt die Fähigkeiten des CMS zu nutzen wurde alles nur über Vorlagen gelöst... Der Fehler sitzt selten im System, öfters davor.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.