Updates beheben Schwachstellen in modernen CMS. Und auch Plug-Ins benötigen Updates. Es steht ein neues Update für WordPress an. Bisherige Versionen waren für XSS-Angriffe anfällig, mit denen Angreifer Administrator-Accounts erstellen und Webseiten übernehmen konnten.
Das WordPress-Team hat die als kritische Updates eingestuften neuen Versionen 4.7.2 zum Download bereitgestellt. Sie schließen eine Schwachstelle, über die Angreifer Javascript-Schadcode im Browser eines WP-Administrators ausführen konnten, wenn dieser einen Blog-Post, eine Webseite oder die Kommentare liest.
Laut Jouko Pynnonen, der den Exploit entdeckte, reichte es im einfachsten Fall, das Javascript als Kommentar zu hinterlassen. Landet dieser in der Moderationswarteschlange zum Freischalten, beispielsweise weil er Links enthält, wird der Schadcode ausgeführt, sobald der Seiten-Administrator den Abschnitt Dashboard/Comments besucht. Das Script könnte dann das aktuelle Administratoren-Passwort ändern, ein neues Admin-Konto anlegen oder weitere Aktionen ausführen, die privilegierte Rechte benötigen, ohne dass der Admin davon etwas mitbekäme. Schreibt der Angreifer mit einem Plug-In nun noch PHP-Code auf den Server, kann er per AJAX-Anfrage sogar Zugriff auf das Betriebssystem erlangen. Der Bug wiegt umso schwerer, weil es in der Regel auch ohne ein Benutzerkonto möglich ist, Kommentare auf WordPress-Seiten zu hinterlassen.
Die Lücke betrifft alle WordPress-Versionen bis einschließlich 4.7.1 Doch auch Nutzer der Version sollten umgehend auf die aktuelle Version 4.7.2 updaten: Sie schließt drei weitere Lücken.
Wir führen diese Upadtes aktuell in Ihren Paketen aus.