Angreifer können aktuelle WordPress-Versionen kapern

Eine bisher unbekannte Sicherheitslücke gefährdet aktuelle WordPress-Installationen. Über die Kommentarfunktion können Angreifer Schadcode einbringen, der beim Anzeigen durch einen Admin dessen Konto und somit die Seite übernehmen kann.

In der aktuellen WordPress-Version 4.2 klafft eine Sicherheitslücke, die es Angreifern unter bestimmten Umständen erlaubt, die Webseite über die Kommentarfunktion zu übernehmen. Ältere Versionen sind ebenfalls angreifbar. Bei der Lücke handelt es sich um Stored Cross-Site Scripting (Stored XSS), da ein Angreifer Schadcode in einen Kommentar einbettet, der vom System gespeichert und wieder angezeigt werden muss, damit der Angriff wirksam ist. Schafft es der Angreifer, dass ein Administrator den Kommentar außerhalb der Admin-Seiten anschaut, kann er dessen Account kapern.

Da die Kommentar-Ansicht im Admin-Bereich den Schadcode erfolgreich filtert, muss der Angreifer unter Umständen erst einmal einen harmlosen Kommentar posten und diesen auf der Seite veröffentlicht bekommen. Viele WordPress-Installationen sind zum Kampf gegen Spam so konfiguriert, dass der erste Kommentar eines Nutzers manuell freigeschaltet werden muss – hier würde der Schadcode auffallen. Wird der böse Kommentar angenommen und über die öffentliche Seite angezeigt, können Besucher der Seite vom Angreifer ausspioniert werden. Dabei ist vor allem die Session des WordPress-Administrators interessant. Kann der Angreifer diese übernehmen, kann er die Webseite unter seine Kontrolle bringen.

Achten Sie also unbedingt auf die notwendigen Sicherheitsfunktionen für die Freischaltung von Kommentaren, oder schalten Sie diese ganz ab wenn Sie diese eh nicht verwenden wollen.