Exploit greift WordPress via Download Manager an
Für eine Anfang Dezember veröffentlichte Lücke in der beliebten WordPress-Erweiterung gibt es jetzt einen Exploit, mit dem jedes Skript-Kiddie ungepatchte Server kapern kann.
Anfang Dezember wurden schwerwiegende Sicherheitslücken im WordPress Download Manager bekannt und mit einem Update behoben. Ein offen im Internet verfügbares Skript nutzt eine dieser Lücken, um einen zusätzlichen Administrator-Account anzulegen. Wer ein Shell-Skript bedienen kann, ist damit in der Lage anfällige Server zu kapern.
Die Lücken betreffen die Versionen des Download Managers vor 2.7.5. Ein Security-Advisory der Entdecker bei Sucuri erklärt die Details dazu. WordPress-Admins, die ältere Versionen des Download Managers nutzen, sollten schleunigst auf eine neuere Version umsteigen. Aktuell ist derzeit Version 2.7.81; beim Update von 2.6er-Versionen des Download Managers gibt es einige Dinge zu beachten. (ju)