Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

Dauerstress für WordPress-Admins: Neue Lücke für XSS-Angriffe entdeckt

    Dauerstress für WordPress-Admins: Neue Lücke für XSS-Angriffe entdeckt

WordPress-Sicherheitslücke (Foto: Shutterstock)

Eine neu entdeckte Sicherheitslücke ermöglicht es Angreifern, Schad-Code über die Kommentarfunktion von WordPress einzuschleusen. Im schlimmsten Fall kann der Angreifer so das Administratoren-Konto übernehmen.

WordPress-Lücke: Cross-Site-Scritpting

Für WordPress-Administratoren gab es in letzter Zeit viel zu tun. Ein Update und diverse Sicherheitslücken hielten die WordPress-Betreuer auf Trab. Jetzt ist eine neue Sicherheitslücke entdeckt worden, die das Einschleusen von schädlichem JavaScript-Code über die Kommentarfunktion mit Hilfe von Stored Cross-Site-Scripting ermöglicht.

Das Cross-Site-Scripting, kurz XSS, ist eine Form der HTML-Injection, mit deren Hilfe Daten verändert werden können, die vom Nutzer an eine Webanwendung übergeben werden. Der verbreitetste Angriffspunkt sind Eingabeformulare oder -masken einer Website, zu denen auch die besagte Kommentarfunktion zählt. Lässt sich ein Nutzer mit Administratoren-Rechten eine mit Schad-Code versehene Nachricht außerhalb des Admin-Bereiches anzeigen, kann sein Account übernommen werden.  So bekommt ein Angreifer im schlimmsten Fall die Administratoren-Rechte und damit Kontrolle über die WordPress-Installation.

WordPress-Déja-vu

Auf wordpress.org steht bereits ein Update bereit – Installation dringend empfohlen! (Screenshot: wordpress.org)
Auf wordpress.org steht bereits ein Update bereit – Installation dringend empfohlen! (Screenshot: wordpress.org)

Mit der Veröffentlichung des letzten WordPress-Updates wurde vor gerade mal sieben Tagen eine Sicherheitslücke geschlossen, die ebenfalls Cross-Site-Scripting ermöglichte – lasst euch hier also nicht durcheinander bringen. Die neue Sicherheitslücke wurde mit dem letzten Update nicht beseitigt und bedarf einer erneuten Aktualisierung eurer WordPress-Installation.

Folgende WordPress-Versionen mit den MySQL-Versionen 5.1.53 und 5.5.41 sind laut Angabe der Entdecker der Sicherheitslücke betroffen:

  • 4.2
  • 4.1.2
  • 4.1.1
  • 3.9.3

Ein entsprechendes WordPress-Update auf die neueste Version 4.2.1 sowie Fixes für die älteren Versionen stehen schon zur Verfügung. Wir raten euch dringend, eure Version zu überprüfen und das Update zu installieren. Über „Dashboard“ und „Updates“ könnt ihr eine manuelle Aktualisierung starten. Ist die automatische Aktualisierung aktiviert, sollte das Update schon installiert sein.

via www.heise.de

Finde einen Job, den du liebst zum Thema TYPO3, PHP

4 Reaktionen
Thomas
Thomas

Nach vielen, vielen sehr guten Infografiken auf t3n ist diese hier wenig hilfreich bis juristisch gefährlich! Erstens werden hier englische Begriffe benutzt - ich glaube nicht, das "Sale" oder "Verkauf" in deutschsprachigen Newslettern ähnliche Ergebnisse erziehlt.
Zum zweiten gibt es mittlerweile Urteile, dass sämtliche Werbung vor dem Double-Optin - also der "Willkommens-E-Mail" bereits abmahnfähig ist.
Besser den Artikel noch um diese Klarstellung ergänzen, bevor Ihr damit jemanden ins Messer laufen lasst.

Antworten
Thomas
Thomas

Ups - sorry, zu viele Fenster auf, der Kommentar gehört hierher:
http://t3n.de/news/willkommens-e-mail-newsletter-marketing-607143/

Antworten
Fabian Golle

Ich nutze den Service eines befreundeten Startups "SECDASH". Die Jungs analysieren die eigenen Wordpress-Installationen permanent auf Sicherheitslücken.. Ist Wordpress betroffen, erhält man eine E-Mail. Sind noch in der beta-Phase. Hier der Link: https://www.secdash.com/

Antworten
Roger Seiler
Roger Seiler

Danke für den Artikel

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen