t3n News Software

Dauerstress für WordPress-Admins: Neue Lücke für XSS-Angriffe entdeckt

Dauerstress für WordPress-Admins: Neue Lücke für XSS-Angriffe entdeckt

Eine neu entdeckte ermöglicht es Angreifern, Schad-Code über die Kommentarfunktion von einzuschleusen. Im schlimmsten Fall kann der Angreifer so das Administratoren-Konto übernehmen.

Dauerstress für WordPress-Admins: Neue Lücke für XSS-Angriffe entdeckt

WordPress-Sicherheitslücke (Foto: Shutterstock)

WordPress-Lücke: Cross-Site-Scritpting

Für WordPress-Administratoren gab es in letzter Zeit viel zu tun. Ein Update und diverse Sicherheitslücken hielten die WordPress-Betreuer auf Trab. Jetzt ist eine neue Sicherheitslücke entdeckt worden, die das Einschleusen von schädlichem JavaScript-Code über die Kommentarfunktion mit Hilfe von Stored Cross-Site-Scripting ermöglicht.

Das Cross-Site-Scripting, kurz XSS, ist eine Form der HTML-Injection, mit deren Hilfe Daten verändert werden können, die vom Nutzer an eine Webanwendung übergeben werden. Der verbreitetste Angriffspunkt sind Eingabeformulare oder -masken einer Website, zu denen auch die besagte Kommentarfunktion zählt. Lässt sich ein Nutzer mit Administratoren-Rechten eine mit Schad-Code versehene Nachricht außerhalb des Admin-Bereiches anzeigen, kann sein Account übernommen werden.  So bekommt ein Angreifer im schlimmsten Fall die Administratoren-Rechte und damit Kontrolle über die WordPress-Installation.

WordPress-Déja-vu

Auf wordpress.org steht bereits ein Update bereit – Installation dringend empfohlen! (Screenshot: wordpress.org)
Auf wordpress.org steht bereits ein Update bereit – Installation dringend empfohlen! (Screenshot: wordpress.org)

Mit der Veröffentlichung des letzten WordPress-Updates wurde vor gerade mal sieben Tagen eine Sicherheitslücke geschlossen, die ebenfalls Cross-Site-Scripting ermöglichte – lasst euch hier also nicht durcheinander bringen. Die neue Sicherheitslücke wurde mit dem letzten Update nicht beseitigt und bedarf einer erneuten Aktualisierung eurer WordPress-Installation.

Folgende WordPress-Versionen mit den MySQL-Versionen 5.1.53 und 5.5.41 sind laut Angabe der Entdecker der Sicherheitslücke betroffen:

  • 4.2
  • 4.1.2
  • 4.1.1
  • 3.9.3

Ein entsprechendes WordPress-Update auf die neueste Version 4.2.1 sowie Fixes für die älteren Versionen stehen schon zur Verfügung. Wir raten euch dringend, eure Version zu überprüfen und das Update zu installieren. Über „Dashboard“ und „Updates“ könnt ihr eine manuelle Aktualisierung starten. Ist die automatische Aktualisierung aktiviert, sollte das Update schon installiert sein.

via www.heise.de

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
4 Antworten
  1. von Roger Seiler am 28.04.2015 (11:44 Uhr)

    Danke für den Artikel

    Antworten Teilen
  2. von Fabian Golle am 28.04.2015 (12:22 Uhr)

    Ich nutze den Service eines befreundeten Startups "SECDASH". Die Jungs analysieren die eigenen Wordpress-Installationen permanent auf Sicherheitslücken.. Ist Wordpress betroffen, erhält man eine E-Mail. Sind noch in der beta-Phase. Hier der Link: https://www.secdash.com/

    Antworten Teilen
  3. von Thomas am 01.05.2015 (15:56 Uhr)

    Nach vielen, vielen sehr guten Infografiken auf t3n ist diese hier wenig hilfreich bis juristisch gefährlich! Erstens werden hier englische Begriffe benutzt - ich glaube nicht, das "Sale" oder "Verkauf" in deutschsprachigen Newslettern ähnliche Ergebnisse erziehlt.
    Zum zweiten gibt es mittlerweile Urteile, dass sämtliche Werbung vor dem Double-Optin - also der "Willkommens-E-Mail" bereits abmahnfähig ist.
    Besser den Artikel noch um diese Klarstellung ergänzen, bevor Ihr damit jemanden ins Messer laufen lasst.

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema WordPress
Sicherheitslücken in Wordpress-Plugins: Admins müssen jetzt updaten
Sicherheitslücken in Wordpress-Plugins: Admins müssen jetzt updaten

Im Rahmen eines Hacking-Events wurden erneut Sicherheitslücken in vier beliebten Wordpress-Plugins aufgedeckt. Diesmal betroffen: Ninja-Forms, Icegram, Video-Player und Paid Membership Pro. » weiterlesen

Jetpack mit gravierender Sicherheitslücke – WordPress-Admins sollten dringend updaten
Jetpack mit gravierender Sicherheitslücke – WordPress-Admins sollten dringend updaten

Das beliebte WordPress-Plugin Jetpack weist seit langer Zeit eine gravierende Sicherheitslücke auf, über die sich schadhafter JavaScript-Code einschleusen lässt. Admins sollten schnellstmöglich … » weiterlesen

Schwere Sicherheitslücken: Nutzer dieser Drupal-Module müssen jetzt reagieren
Schwere Sicherheitslücken: Nutzer dieser Drupal-Module müssen jetzt reagieren

Gleich drei Drupal-Module weisen schwere Sicherheitslücken auf. Betroffene Nutzer sollten jetzt so schnell wie möglich reagieren. » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?