PHP-Lücke gefährdet Wordpress-Webseiten
Quelle: Pixabay/geralt

PHP-Lücke gefährdet Wordpress-Webseiten

Im PHP-Modul von Wordpress klafft offenbar eine Sicherheitslücke, die es Angreifern ermöglicht, über den Upload einer manipulierten Datei das gesamte System zu kapern.
20. August 2018

     

Im beliebten Webseiten-Verwaltungs-Framework Wordpress klafft offenbar eine schwerwiegende Sicherheitslücke, die eine Vielzahl von Webseiten für Cyber-Attacken verwundbar macht. Wie "Zdnet" berichtet, besteht laut Experten des britischen Security-Unternehmens Secarma nun schon seit über einem Jahr eine Lücke im PHP-Modul von Wordpress, die es Angreifern ermöglichen soll, das gesamte System zu übernehmen.

Biete die Domain die Möglichkeit an, Dateien hochzuladen, dann könnten Angreifer durch den Upload einer präparierten Bilddatei über den "phar://" Stream-Wrapper eine Dateioperation auslösen. Dies könne wiederum Fehler in XML External Entity (XXE) und Server Side Request Forgery (SSRF) aulsösen. Die Schwachstelle befindet sich laut den Sicherheitsforschern in der Funktion wp_get_attachment_thumb_file in /wpincludes/post.php und ermögliche es Angreifern, die Kontrolle über einen Parameter in "file_exists" zu erlangen, wodurch der Fehler ausgelöst und die Kontrolle über das System erlangt werden könne.


Gemäss dem Experten Sam Thomas sei diese Art von Lücke bereits seit vielen Jahren bekannt und es gebe auch schon Lösungsansätze. Diese müssten im Lichte der neu gefundenen Lücke aber womöglich erneut überprüft werden. (luc)


Weitere Artikel zum Thema

Tausende Wordpress-Nutzer verbreiten unbewusst Malware

2. August 2018 - 10'000 Wordpress-Seiten wurden offenbar gehackt und funktionieren jetzt unerkannt als Teil eines kriminellen Netzwerks, das grossflächig Malware verbreitet. Durch die riesige Aktion wurden weltweit bereits Millionen von Internetnutzern mit bösartigen Werbebotschaften, Krypto-Minern, Ransomware und Banking-Trojandern bombardiert.

Wordpress-Update stopft Sicherheitsleck

8. Juli 2018 - Mit dem Release von Wordpress 4.9.7 wird ein gravierendes Sicherheitsleck eliminiert und dazu eine Reihe von Fehlern behoben. Eine umgehende Aktualisierung wird empfohlen.

Wordpress-Bug legt Auto-Update lahm

9. Februar 2018 - Ein Fehler in der Wordpress-Version 4.9.3 hat die automatische Update-Funktion ausser Betrieb gesetzt. Mittlerweile haben die Macher mit der Veröffentlichung von Wordpress 4.9.4 reagiert, die den Bug eliminiert.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER