Cross-Site-Scripting-Schwachstelle in Wordpress
Die Wordpress-Entwickler haben die LĂĽcke bereits mit einem Patch bedacht, der bislang aber nur in die Repositories eingepflegt wurde. Der angekĂĽndigte Wordpress-Wurm entpuppt sich als eine in JavaScript geschriebene interaktive Patchanleitung.
- Daniel Bachfeld
Benjamin Flesch hat in seinem Blog Beschreibungen zu fünf neuen Schwachstellen im weit verbreiteten Blogsystem Wordpress veröffentlicht. Allerdings benötigen vier davon Administrator-Rechte in Wordpress, um sie auszunutzen, was die Tragweite der Lücken erheblich einschränkt. Darunter fallen unter anderem SQL-Injection- und Cross-Site-Scripting-Lücken. Zudem bericht Flesch über einen nicht sicherheitsrelevanten Datenbankfehler und eine bereits bekannte Schwachstelle.
Einzig eine Cross-Site-Scripting-Lücke in der Datei wp-admin/includes/upload.php weist ein höheres Risiko auf und wurde von den Wordpress-Entwicklern auch bereits mit einem Patch bedacht, der bislang aber nur in die Repositories eingepflegt wurde. Aufgrund der fehlenden Filterung des Style-Parameters lässt sich Anwendern JavaScript unterschieben und im Kontext der Wordpress-Seite ausführen. Für einen erfolgreichen Angriff muss das Opfer aber mindestens Author-Rechte im Blog besitzen.
Der von Flesch angekündigte Wordpress-Wurm entpuppt sich als eine in JavaScript geschriebene Patchanleitung, die die beschriebenen Cross-Site-Scripting-Lücken ausnutzt. Dabei soll das Skript auch das Credential _wpnonce auslesen, um Wordpress selbständig zu patchen und andere Änderungen vorzunehmen. Allerdings scheint der Wordpress-Wurm Berichten zufolge noch nicht ganz ausgereift zu sein, weshalb vom Einsatz des "helfenden Wurms" abzuraten sei.
Ein in JavaScript geschriebener Web-2.0-Wurm legte bereits Ende 2005 MySpace komplett lahm, indem er sich in generierte Einladungen einbettete. Beim Betrachten durch die Eingeladenen brachte sich das Skript erneut zur AusfĂĽhrung, um weitere Freunde einzuladen. Zur Verbreitung nutzte der MySpace-Wurm ebenfalls eine Cross-Site-Scripting-LĂĽcke.
Siehe dazu auch:
- Wordpress ZeroDay Vulnerability Roundhouse Kick and why I nearly wrote the first Blog Worm (updated), Blog von Benjamin Flesch
- Wordpress uploads.php Cross-Site Scripting Vulnerability, Eintrag in Wordpress-Trac
- WP XSS Wurm doch nicht soo freundlich?, Blog von Markus Schlichting
(dab)
