Erneute Cross-Site-Scripting-Lücke in WordPress bedroht Millionen Sites

Ein Sicherheitsforscher hat eine weitere Schwachstelle im Blog- und Content-Management-System WordPress beschrieben. Laut David Dede steckt sie in einer simplen Datei namens example.html für das Plug-in „Twenty Fifteen“ – das aktuelle Standardtheme neuer WordPress-Installationen.

Es handelt sich um eine DOM-basierte Cross-Site-Scripting-Lücke (XSS). Sie lässt sich laut Dede auch im Plug-in Jetpack nachweisen, das Werkzeuge für die Anpassung von WordPress, bessere Mobile-Kompatibilität und Traffic-Analysen ermöglicht. Beide verwenden nämlich ein Paket namens genericons.

Die Schwachstelle wird bereits ausgenutzt. Wie viele Sites anfällig sind, lässt sich schwer sagen, da unbekannt ist, wie viele Sites Twenty Fifteen einsetzen. Bei Jetpack sind es über eine Million Sites. Zugleich lässt sich das Problem einfach beheben, nämlich indem man die Beispieldatei example.html im Verzeichnis genericons löscht, was zahlreiche Webhoster für ihre WordPress-Installationen bereits getan haben, nachdem Dede sie über das Problem informierte.

Die Schwachstelle lässt sich laut Dede ausnutzen, indem man das Document Object Model (DOM) im Browser des Opfers durch das Original-Script modifiziert. Dies führt zu unerwartetem Verhalten und ermöglicht dem Angreifer, bösartigen JavaScript-Schadcode auszuführen. Sollte der Nutzer als WordPress-Administrator eingeloggt sein, könnte der Angreifer die komplette Website übernehmen.

Der Sicherheitsforscher nennt es grundsätzlich „bedenklich“, dass Automattic und das WordPress-Team eine Testdatei mit dem Produktionssystem verteilen. Dies sei kein empfehlenswertes Vorgehen, wie das Beispiel zeige. „Was hier besonders betroffen macht, ist die große kombinierte Reichweite des Themes und des Plug-ins. Ein einfaches Versehen könnte so verheerende Folgen für Website-Betreiber und Firmen haben.“

Ende April hatte WordPress dringend empfohlen, sofort alle früheren Versionen des Content-Management-Systems auf das Release 4.1.2 zu aktualisieren. Frühere Versionen sind von einer kritischen Cross-Site-Scripting-Lücke betroffen. Das Update beseitigt außerdem drei weitere Anfälligkeiten. Nur Tage später wurde eine weitere Cross-Site-Scripting-Lücke entdeckt. Sie erlaubte das Einschleusen von JavaScript-Code durch überlange Kommentare.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.