Zur mobilen Ansicht wechseln »

Stored XSS Sicherheitslücke macht WordPress-Websites angreifbar.

Foto: Screenshot, Wordpress
Über das Kommentarsystem ist es möglich die Session eines Administrators auszuspionieren und so die Website zu kapern.

Die finnische IT-Security-Website Klikki.fi hat eine Sicherheitslücke in der aktuellen Version von WordPress entdeckt. Diese nutzt Stored Cross-Site Scripting (Stored XSS). Dabei wird über das Kommentarsystem ein Schadcode eingespielt.

Wird das Kommentar mit dem Schadcode auf der Website veröffentlicht, können die Sessions der Besucher der Website ausspioniert werden. Befindet sich ein Administrator der Website darunter, könnte man das Admin-Passwort ändern, einen neuen Administrator hinzufügen und auch sonst alle Aktionen des Administrators machen, solange dieser eingeloggt ist. Das funktioniert allerdings nur, wenn der Administrator die Website in der normalen Ansicht betrachtet. Im Admin-Bereich von WordPress wird der Schadcode in den Kommentaren nicht ausgeführt.

Laut Klikki.fi sind die WordPress-Versionen 4.2, 4.1.2, 4.1.1 und 3.9.3 betroffen. WordPress wurde bereits im Vorjahr über die Lücke informiert, soll aber seit 20. November 2014 nicht auf E-Mails bezüglich der Sicherheitslücke reagiert haben. Klikki.fi empfiehlt Administratoren die Kommentarfunktion ihrer WordPress-Websites zu deaktivieren, bis die Lücke durch einen Patch behoben wurde.

(futurezone) Erstellt am 27.04.2015, 18:54

Kommentare ()

Einen neuen Kommentar hinzufügen

( Abmelden )

Ihr Kommentar

Antworten folgen
Melden Sie den Kommentar dem Seitenbetreiber. Sind Sie sicher, dass Sie diesen Kommentar als unangemessen melden möchten?
    Bitte Javascript aktivieren!