Wordpress-Plugin bleibt ungefixt
Ein Sicherheitsforscher deckte zwei Lücken in der Wordpress-Erweiterung Event-Registration auf; die Hersteller reagieren jedoch nicht.
Eine SQL-Injection-Lücke und ein persistentes Cross-Site-Scripting-Problem hat Michael Helwig in dem Wordpress-Plugin Event-Regsitration aufgedeckt und dem Hersteller gemeldet. Nachdem dieser nicht reagierte, kontaktierte er das Wordpress-Security-Team. Auch da keine Reaktion; aber immerhin verschwand die Erweiterung aus dem offiziellen Plugin-Verzeichnis von Wordpress.
Mittlerweile hat Hellwig die Sicherheitslücken in Event-Regsitration öffentlich gemacht und zumindest bei der XSS-Lücke auch dokumentiert, wie sich diese ausnutzen ließe, um letztlich den Server komplett zu übernehmen. Wer also Wordpress mit Event-Registration einsetzt, sollte es schleunigst deaktivieren.
(ju)
