Ein Sicherheitsforscher hat eine weitere Schwachstelle im Blog- und Content-Management-System WordPress beschrieben. Laut David Dede steckt sie in einer simplen Datei namens example.html für das Plug-in „Twenty Fifteen“ – das aktuelle Standardtheme neuer WordPress-Installationen.
Es handelt sich um eine DOM-basierte Cross-Site-Scripting-Lücke (XSS). Sie lässt sich laut Dede auch im Plug-in Jetpack nachweisen, das Werkzeuge für die Anpassung von WordPress, bessere Mobile-Kompatibilität und Traffic-Analysen ermöglicht. Beide verwenden nämlich ein Paket namens genericons.
Die Schwachstelle wird bereits ausgenutzt. Wie viele Sites anfällig sind, lässt sich schwer sagen, da unbekannt ist, wie viele Sites Twenty Fifteen einsetzen. Bei Jetpack sind es über eine Million Sites. Zugleich lässt sich das Problem einfach beheben, nämlich indem man die Beispieldatei example.html im Verzeichnis genericons löscht, was zahlreiche Webhoster für ihre WordPress-Installationen bereits getan haben, nachdem Dede sie über das Problem informierte.
Die Schwachstelle lässt sich laut Dede ausnutzen, indem man das Document Object Model (DOM) im Browser des Opfers durch das Original-Script modifiziert. Dies führt zu unerwartetem Verhalten und ermöglicht dem Angreifer, bösartigen JavaScript-Schadcode auszuführen. Sollte der Nutzer als WordPress-Administrator eingeloggt sein, könnte der Angreifer die komplette Website übernehmen.
Der Sicherheitsforscher nennt es grundsätzlich „bedenklich“, dass Automattic und das WordPress-Team eine Testdatei mit dem Produktionssystem verteilen. Dies sei kein empfehlenswertes Vorgehen, wie das Beispiel zeige. „Was hier besonders betroffen macht, ist die große kombinierte Reichweite des Themes und des Plug-ins. Ein einfaches Versehen könnte so verheerende Folgen für Website-Betreiber und Firmen haben.“
Ende April hatte WordPress dringend empfohlen, sofort alle früheren Versionen des Content-Management-Systems auf das Release 4.1.2 zu aktualisieren. Frühere Versionen sind von einer kritischen Cross-Site-Scripting-Lücke betroffen. Das Update beseitigt außerdem drei weitere Anfälligkeiten. Nur Tage später wurde eine weitere Cross-Site-Scripting-Lücke entdeckt. Sie erlaubte das Einschleusen von JavaScript-Code durch überlange Kommentare.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
2 Kommentare zu Erneute Cross-Site-Scripting-Lücke in WordPress bedroht Millionen Sites
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Ich bekomme immer wieder mit, dass viele kleinere Sites Updates für WordPress nur sporadisch einspielen. Ich hoffe, dass durch die vielen Lücken die zur Zeit entdeckt werden, der ein oder andere doch aufgerüttelt wird und seiner Verantwortung als Admin gerecht wird. Pflichtlektüre ist sicherlich auch das Buch „WordPress absichern“ von Stefan Birkmeier, welches wir unseren Kunden empfehlen, die ihre Wartung aus Kostengründen selbst übernehmen. WordPress ist kein Spielzeug und muss permanent gepflegt werden – sonst kann es irgendwann ein böses Erwachen geben.
Es gibt seit gestern Abend bereits Updates für Jetpack und das Theme Twenty Fifteen, heute vormittag habe ich WordPress auf das Security Release 4.2.2 aktualisieren. Die Gefahr durch diese XSS-Lücke sollte geschlossen sein.