Kritische Cross-Site-Scripting-Lücke in WordPress geschlossen
Updates beheben Schwachstellen in der beliebten Content-Management-Software sowie in einem Plug-In. Bisherige Versionen waren für XSS-Angriffe anfällig, mit denen Angreifer Administrator-Accounts erstellen und Webseiten übernehmen konnten.
(Bild: wordpress.org)
- Benjamin Kraft
Am vergangenen Donnerstag hat das WordPress-Team die als kritische Updates eingestuften neuen Versionen 4.0.1, 3.9.3, 3.8.5 und 3.7.5 zum Download bereitgestellt. Sie schließen eine Schwachstelle, über die Angreifer Javascript-Schadcode im Browser eines WP-Administrators ausführen konnten, wenn dieser einen Blog-Post, eine Webseite oder die Kommentare liest.
Laut Jouko Pynnonen, der den Exploit entdeckte, reichte es im einfachsten Fall, das Javascript als Kommentar zu hinterlassen. Landet dieser in der Moderationswarteschlange zum Freischalten, beispielsweise weil er Links enthält, wird der Schadcode ausgeführt, sobald der Seiten-Administrator den Abschnitt Dashboard/Comments besucht. Das Script könnte dann das aktuelle Administratoren-Passwort ändern, ein neues Admin-Konto anlegen oder weitere Aktionen ausführen, die privilegierte Rechte benötigen, ohne dass der Admin davon etwas mitbekäme. Schreibt der Angreifer mit einem Plug-In nun noch PHP-Code auf den Server, kann er per AJAX-Anfrage sogar Zugriff auf das Betriebssystem erlangen. Der Bug wiegt umso schwerer, weil es in der Regel auch ohne ein Benutzerkonto möglich ist, Kommentare auf WordPress-Seiten zu hinterlassen. Die Lücke betrifft alle WordPress-Versionen bis einschließlich 3.9.2. Doch auch Nutzer der Version 4 sollten umgehend auf die aktuelle Version 4.0.1 umsteigen: Sie schließt drei weitere XSS-Lücken.
Das beliebte Plug-In WP-Statistics ist ebenfalls von einer XSS-Anfälligkeit betroffen, die dazu genutzt werden könnte, mithilfe von JavaScript Administratorrechte zu erlangen. "Ein Angreifer kann den Browser eines Angriffsziels dazu zwingen, Stored Cross-Site-Scripting- oder Reflected-XSS-Angriffe zu nutzen, um damit administrativer Aufgaben für ihn ausführen zu lassen. Über diese Schwachstelle ließen sich neue Administratoren-Konten erstellen, SEO-Spam in Blog-Posts einfügen sowie diverse weitere Aktionen aus dem Administrations-Bereich von WordPress heraus ausführen," erklärt Marc-Alexandre Montpas auf dem Blog der Internet-Sicherheitsfirma Sucuri. Er empfiehlt dringend, die inzwischen erschienene Version WP-Statistics 8.3.1 einzuspielen. (bkr)
