Sicherheitslücke macht WordPress-Websites angreifbar

Die finnische IT-Security-Website Klikki.fi hat eine Sicherheitslücke in der aktuellen Version von WordPress entdeckt. Diese nutzt Stored Cross-Site Scripting (Stored XSS). Dabei wird über das Kommentarsystem ein Schadcode eingespielt.

Wird das Kommentar mit dem Schadcode auf der Website veröffentlicht, können die Sessions der Besucher der Website ausspioniert werden. Befindet sich ein Administrator der Website darunter, könnte man das Admin-Passwort ändern, einen neuen Administrator hinzufügen und auch sonst alle Aktionen des Administrators machen, solange dieser eingeloggt ist. Das funktioniert allerdings nur, wenn der Administrator die Website in der normalen Ansicht betrachtet. Im Admin-Bereich von WordPress wird der Schadcode in den Kommentaren nicht ausgeführt.

Laut Klikki.fi sind die WordPress-Versionen 4.2, 4.1.2, 4.1.1 und 3.9.3 betroffen. WordPress wurde bereits im Vorjahr über die Lücke informiert, soll aber seit 20. November 2014 nicht auf E-Mails bezüglich der Sicherheitslücke reagiert haben. Klikki.fi empfiehlt Administratoren die Kommentarfunktion ihrer WordPress-Websites zu deaktivieren, bis die Lücke durch einen Patch behoben wurde.