Ein Sicherheitsforscher hat eine weitere Schwachstelle im Blog- und Content-Management-System WordPress beschrieben. Laut David Dede steckt sie in einer simplen Datei namens example.html für das Plug-in „Twenty Fifteen“ – das aktuelle Standardtheme neuer WordPress-Installationen.
Die Schwachstelle wird bereits ausgenutzt. Wie viele Sites anfällig sind, lässt sich schwer sagen, da unbekannt ist, wie viele Sites Twenty Fifteen einsetzen. Bei Jetpack sind es über eine Million Sites. Zugleich lässt sich das Problem einfach beheben, nämlich indem man die Beispieldatei example.html im Verzeichnis genericons löscht, was zahlreiche Webhoster für ihre WordPress-Installationen bereits getan haben, nachdem Dede sie über das Problem informierte.
Die Schwachstelle lässt sich laut Dede ausnutzen, indem man das Document Object Model (DOM) im Browser des Opfers durch das Original-Script modifiziert. Dies führt zu unerwartetem Verhalten und ermöglicht dem Angreifer, bösartigen JavaScript-Schadcode auszuführen. Sollte der Nutzer als WordPress-Administrator eingeloggt sein, könnte der Angreifer die komplette Website übernehmen.
Der Sicherheitsforscher nennt es grundsätzlich „bedenklich“, dass Automattic und das WordPress-Team eine Testdatei mit dem Produktionssystem verteilen. Dies sei kein empfehlenswertes Vorgehen, wie das Beispiel zeige. „Was hier besonders betroffen macht, ist die große kombinierte Reichweite des Themes und des Plug-ins. Ein einfaches Versehen könnte so verheerende Folgen für Website-Betreiber und Firmen haben.“
Ende April hatte WordPress dringend empfohlen, sofort alle früheren Versionen des Content-Management-Systems auf das Release 4.1.2 zu aktualisieren. Frühere Versionen sind von einer kritischen Cross-Site-Scripting-Lücke betroffen. Das Update beseitigt außerdem drei weitere Anfälligkeiten. Nur Tage später wurde eine weitere Cross-Site-Scripting-Lücke entdeckt. Sie erlaubte das Einschleusen von JavaScript-Code durch überlange Kommentare.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Die Tests basieren auf tatsächlich existierenden Sicherheitslücken. GPT-4 erreicht eine Erfolgsquote von 87 Prozent. Alle…
Vorstellung Im Jahr 2016 hat Marcus Krämer die Firma HostPress gegründet, da es zu diesem…
Die neue V-NAND-Generation bietet die derzeit höchste verfügbare Bit-Dichte. Samsung steigert auch die Geschwindigkeit und…
Die Sicherheitsfunktion taucht in einer Beta eines kommenden Android-Updates auf. Die Quarantäne beendet unter anderem…
Die OutSystems Developer School hilft Entwicklern, in 2 Wochen komplexe reaktive Anwendungen mit der Low-Code-Plattform…
Das Jahr 2024 beginnt laut Cloudflare mit einem Paukenschlag. Die automatischen Systeme des Unternehmens wehren…