WordPress stopft stillschweigend kritische Zero-Day-Lücke

WordPress hat mit dem Ende Januar veröffentlichten Sicherheitsupdate auch eine kritische Zero-Day-Lücke beseitigt, ohne sie im zugehörigen Security Advisory zu erwähnen. Die Schwachstelle lässt sich, wie das Unternehmen nun mitteilt, aus der Ferne ausnutzen, um Schadcode einzuschleusen und auszunutzen.

„Unser Standpunkt ist, dass Sicherheitsprobleme immer offengelegt werden sollten. In diesem Fall haben wir die Offenlegung bewusst um eine Woche verzögert, um die Sicherheit von Millionen WordPress-Sites sicherzustellen“, schreibt WordPress-Entwickler Aaron Campbell in einem Blogeintrag.

Der Fehler steckt im WordPress REST API Endpoint. Betroffen ist die Version 4.7. Alle WordPress-Webseiten, die im Januar auf die Version 4.7 umgestiegen sind und die fehlerbereinigte Version 4.7.2 noch nicht installiert haben, sind anfällig für einen Content-Injection-Bug. Ein nicht authentifizierter Angreifer kann einzelne Seiten oder Beiträge einer auf WordPress basierenden Website manipulieren oder eigene Inhalte veröffentlichen. In Verbindung mit bestimmten Plug-ins ist auch eine Remotecodeausführung möglich.

Entdeckt wurde die Schwachstelle von Marc-Alexandre Montpas vom Sicherheitsanbieter Sucuri. Ihm zufolge handelt es sich um den wichtigsten Patch des in der vergangenen Woche veröffentlichten Updates.

„Angreifer können den Inhalt jedes Eintrags oder jeder Seite auf der Website eines Opfers ändern. Sie können aber auch Plug-in-spezifische Codes hinzufügen, um Anfälligkeiten auszunutzen, die sonst auf angemeldete Benutzer beschränkt wären, um SEO-Spam oder Anzeigen einzuschleusen“, erklärte Montpas. „In Abhängigkeit von den aktivierten Plug-ins einer Site könnte mit Leichtigkeit sogar PHP-Code ausgeführt werden.“

Loading ...

Allerdings traf die gestrige Offenlegung der Zero-Day-Lücke nicht jeden unvorbereitet. Hosting- und Firewall-Anbieter wie SiteLock, CloudFlare und Incapsula informierte WordPress vorab, um sie in die Lage zu versetzen, Nutzer vor möglichen Angriffen zu schützen. „Hoster haben eng mit dem Sicherheitsteam zusammengearbeitet, um Sicherheitsvorkehrungen zu implementieren und regelmäßig nach Angriffsversuchen gegen ihre Nutzer Ausschau zu halten“, ergänzte Campbell.

Ihm zufolge gab es keine Anzeichen dafür, dass die Schwachstelle tatsächlich für Angriffe benutzt wurde. Deswegen habe man sich entschieden, in diesem Fall die Details zurückzuhalten, um zumindest der automatischen Updatefunktion Zeit zu geben, so viele Nutzer wie möglich zu schützen. Auch Akamai habe bei eigenen Scans keine Hinweise dafür gefunden, dass außer den von WordPress informierten Parteien irgendjemand von der Anfälligkeit wusste.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

[mit Material von Liam Tung, ZDNet.com]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Covid-Hacker attackieren E-Mail-Konten

Mit getürkten Informationen über die Covid-Variante Omikron verstärken Hacker ihre Angriffe auf E-Mail-Konten, erklärt Dr.…

5 Stunden ago

Bedrohung durch Cybercrime-as-a-Service

Drei Tipps zur Abwehr von Ransomware-Attacken, die als Cybercrime-as-a-Service (CaaS) gestartet werden, geben die Experten…

6 Stunden ago

Edge Computing für smarte Städte

Kommunen sind gefordert, die Lebensqualität ihrer Bürger zu erhöhen. Edge Computing ist dabei der Schlüssel…

12 Stunden ago

Trendthema Network as a Service

Network as a Service (NaaS) hat das Zeug, traditionelle Netzwerkinfrastrukturen zu revolutionieren. Die digitale Transformation…

12 Stunden ago

Backup verteidigt gegen Ransomware

Erpressern wird es früher oder später gelingen, in ein Unternehmensnetzwerk einzudringen. Deswegen hat Backup als…

12 Stunden ago

Angreifen erlaubt! Ethisches Hacking stellt Netzwerksicherheit auf die Probe

Die Mehrzahl der Unternehmen in Deutschland verfügt heute über eine IT-Abteilung und ein unternehmenseigenes Netzwerk…

13 Stunden ago