SQL-Injection-Lücke in Wordpress [Update]
Die Lücke erlaubt es, eigene Befehle an die Datenbank zu übergeben und etwa Inhalte zu manipulieren oder Namen und Passwort-Hashes anderer Nutzer einzusehen.
- Daniel Bachfeld
Eine SQL-Injection-Lücke in Wordpress gefährdet die Sicherheit von Blogsystemen. Auf Milw0rm wurde ein Exploit veröffentlicht, der unautorisierte Zugriffe auf die zugrunde liegende Datenbank ermöglichen soll. Schuld ist die Funktion wp.suggestCategories im Modul xmlrpc.php, die Nutzerparameter nicht richtig filtert. Dadurch ist es möglich, eigene Befehle an die Datenbank zu übergeben und etwa Inhalte zu manipulieren oder Namen und Passwort-Hashes anderer Nutzer einzusehen. Für einen erfolgreichen Angriff ist allerdings eine vorherige Authentifizierung erforderllich.
Der Fehler wurde in Version 2.2 gefunden, vorherige Versionen sind sehr wahrscheinlich ebenfalls betroffen. Ein Patch gibt es nicht. Dass der Exploit nur bei angemeldeten Nutzern funktioniert, dürfte das Risiko eines Angriffs verringern. Anwender sollten nur vertrauenswürdigen Personen Schreibzugriff auf das System gewähren.
Update
Für die Lücke steht bereits ein Update in den Entwickler-Repositories zur Verfügung. Anwender können sich das aktualisierte Modul xmlrpc.php hier herunterladen: Wordpress 2.2 (xmlrpc.php) Remote SQL Injection Exploit. Betroffen ist nur Version 2.2 da die genannte Methode wp.suggestCategories in vorherigen Versionen nicht enthalten ist.
Siehe dazu auch:
- Wordpress 2.2 (xmlrpc.php) Remote SQL Injection Exploit, Fehlerbeschreibung von Slappter
(dab)
