WordPress: Kritische Sicherheitslücke in mehreren Versionen

Eine schwerwiegende Sicherheitslücke im weit verbreiteten Content-Management-System WordPress gefährdet Millionen Internetseiten. Wie der finnische Sicherheitsexperte Jouko Pynnonen berichtet, erlaubt eine Lücke das sogenannte Cross-Site-Scripting (XSS), also das Einschleusen von schädlichem Javascript-Code. Von dem Sicherheitsproblem betroffen sind die WordPress-Versionen 3.0 bis 3.9.2, die laut Pynnonen derzeit noch 86 Prozent der im Einsatz befindlichen Installationen ausmachen. Nicht angreifbar sind hingegen die aktuellen Versionen ab 4.0.

Einfaches Vorgehen
Der Weg zu einem erfolgreichen Angriff ist denkbar einfach: Laut Jouko Pynnonen, der die Sicherheitslücke entdeckte, reicht es im einfachsten Fall, das Javascript als Kommentar zu hinterlassen. Landet dieser dann in der Moderationswarteschlange zum Freischalten, beispielsweise weil er Links enthält, wird der Schadcode ausgeführt, sobald der Seiten-Administrator diesen aufruft. Die Folgen: Der Angreifer kann unbemerkt das Administrator-Passwort ändern, ein neues Administrator-Konto anlegen sowie mit Hilfe des Plugin-Editors einen PHP-Code auf dem Server ablegen. Per Ajax-Anfrage kann der Angreifer damit damit sogar Zugriff auf das Betriebssystem des Servers erlangen.

Plug-In ebenfalls betroffen
Nach Angaben des Sicherheitsexperten Marc-Alexandre Montpas ist auch das beliebte WordPress-Plug-In „WP-Statistics“ von einer XSS-Anfälligkeit betroffen: „Ein Angreifer kann den Browser eines Angriffsziels dazu zwingen, Stored-Cross-Site-Scripting- oder Reflected-XSS-Angriffe zu nutzen, um damit administrativer Aufgaben für ihn ausführen zu lassen. Über diese Schwachstelle ließen sich neue Administratoren-Konten erstellen, SEO-Spam in Blog-Posts einfügen sowie diverse weitere Aktionen aus dem Administrations-Bereich von WordPress heraus ausführen“, erklärt Marc-Alexandre Montpas.

Updates erhältlich
Aufgrund dessen empfiehlt Montpas dringend, die inzwischen erschienene Version WP-Statistics 8.3.1 einzuspielen. Aber auch die Entwickler von WordPress veröffentlichten in Zwischenzeit ein umfangreiches Sicherheitsupdate veröffentlicht, dass drei weitere XSS-Sicherheitslücken schließt. Aus diesem Grund sollten neben den Nutzern der Versionen 3.9.2, 3.8.4 und 3.7.4 auch Anwender der Version 4.0 die jeweils aktuelle Version installieren, um jegliche Angriffe zu vermeiden.

Quelle: Computerbild.de