2073665

Kritische Sicherheitslücke bei WordPress

28.04.2015 | 18:04 Uhr |

Im Kommentarsystem der Blogsoftware Wordpress lauert eine Lücke, die Hacker zum Admin macht.

Hacker können sich bei der beliebten Blogsoftware Wordpress aufgrund einer Sicherheitslücke zum Administrator machen. Der aus Finnland stammende IT-Experte Jouko Pynnönen hat die Hintergründe der Cross-Site-Scripting-Lücke in einer Mailingliste publik gemacht. Demnach reicht ein einfacher Kommentar, um per Javascript Admin-Rechte zu erlangen.

Möglich wird dies durch eine Überschreitung der für Kommentare geltenden Größenbeschränkung von 64 Kilobyte. Fällt eine Nutzermeinung größer aus, wird sie von Wordpress abgeschnitten – der Javascript-Code landet also dennoch in der Datenbank. Dies gilt zumindest, wenn die Kommentare nicht erst nach einer Moderation freigeschaltet werden.

Wordpress 4.0 - Die Neuerungen und der Umstieg

Die Schwachstelle finde sich auch in älteren Versionen von Wordpress. Der Hersteller reagierte verspätet mit einem offiziellen Update auf Version 4.2.1, welches die Schwachstelle ausmerzen soll. Anwender, die die automatische Update-Funktion nutzen, sollten die neue Version ohne Zutun erhalten.

0 Kommentare zu diesem Artikel
2073665