zurück zum Artikel

Für eine Anfang Dezember veröffentlichte Lücke in der beliebten WordPress-Erweiterung gibt es jetzt einen Exploit, mit dem jedes Skript-Kiddie ungepatchte Server kapern kann.

Anfang Dezember wurden schwerwiegende Sicherheitslücken im WordPress Download Manager [1] bekannt und mit einem Update behoben. Ein offen im Internet verfügbares Skript [2] nutzt eine dieser Lücken, um einen zusätzlichen Administrator-Account anzulegen. Wer ein Shell-Skript bedienen kann, ist damit in der Lage anfällige Server zu kapern.

Die Lücken betreffen die Versionen des Download Managers vor 2.7.5. Ein Security-Advisory der Entdecker bei Sucuri [3] erklärt die Details dazu. WordPress-Admins, die ältere Versionen des Download Managers nutzen, sollten schleunigst auf eine neuere Version umsteigen. Aktuell ist derzeit Version 2.7.81; beim Update von 2.6er-Versionen des Download Managers [4] gibt es einige Dinge zu beachten. (ju [5])

URL dieses Artikels:
https://www.heise.de/-2506347

Links in diesem Artikel:
[1] https://wordpress.org/plugins/download-manager/
[2] http://www.exploit-db.com/exploits/35533/
[3] http://blog.sucuri.net/2014/12/security-advisory-high-severity-wordpress-download-manager.html
[4] https://wordpress.org/support/topic/required-actions-after-you-update-to-v27-from-v26
[5] mailto:ju@ct.de

Copyright © 2014 Heise Medien