Wordpress: Schwere Sicherheitslücke entdeckt

Die auf Sicherheitsthemen spezialisierte heimische Firma SEC Consult hat eine schwere Sicherheitslücke in der Blogging-Software Wordpress entdeckt, wie sie in einem Online-Eintrag schreibt. Die "Zero-Day"-Lücke betrifft die Versionen 3.1.3 und älter, die laut SEC Consult eine eine "unzureichende Filterung bei gewissen Eingabefeldern" aufweisen. Damit würden grundelgende Anforderungen andie Sicherheit von Webanwendungen missachtet werden.

"Der Angreifer kann daher für die Rolle Editor beliebige SQL-Kommandos über diese Sicherheitslücken ausführen und erhält damit Zugriff auf die gesamte Datenbank der Wordpress-Anwendung mit den Rechte des entsprechenden Datenbank-Benutzers", so Markus Robin von SEC Consult.

Wordpress 3.1.3 wurde etwa 14 Mio. Mal heruntergeladen. Die Sicherheitslücke betrifft eine Vielzahl an Blogs, die noch nicht auf die aktuellste Version 3.1.4 upgedatet haben - ein Upgrade ist dringend anzuraten. Außerdem wird dazu geraten, neue Passwörter zu verwenden.