Erneut XSS-Sicherheitslücke in WordPress – Zahlreiche Webseiten in Gefahr
Compterhilfen » News » Erneut XSS-Sicherheitslücke in Wordpress - Zahlreiche Webseiten in Gefahr
08.05.2015, 15:10 Uhr (1628x gelesen)
In der Blog- und CMS-Software WordPress ist eine weitere, gefährliche „Cross-Site-Scripting“ (XSS) Lücke entdeckt worden: Angreifer können über die Sicherheitslücke Javascript-Code einschleusen und Zugriff auf das Admin-Interface bekommen, wenn der aktuell angemeldete User ebenfalls Admin-Rechte hatte. Die gefährliche Sicherheitslücke befindet sich in einer Datei in dem automatisch mitgelieferten Theme – zusätzlich auch noch als Teil eines sehr beliebten Plugins.
Wer das beiliegende Standard-Theme ausgewählt hat oder das Plugin aktiviert hat, ist für die Cross-Site-Scripting“ (XSS)-Lücke anfällig und sollte schnell handeln, so der Sicherheitsforscher David Dede. Sowohl das Standard-Theme „Twenty Fifteen“, aber auch das 2014er Theme „Twenty Fourteen“ als auch das Jetpack-Plugin enthalten einen Ordner „genericons“, in dem sich die Datei „example.html“ befindet: Laut David Dede reicht es bereits aus, diese Beispieldatei aus dem Ordner zu löschen, um sein WordPress-System zumindest gegen die aktuelle Sicherheitslücke abzusichern.
Zusätzlich sollte man sein WordPress auf die aktuelle Version 4.2.2 aktualisieren, da in älteren Versionen noch weitere Sicherheitslücken gefunden wurden, die mit der aktuellen Version Ende April geschlossen wurden. Ein Update des WordPress-Systems lässt sich direkt aus dem Admin-Bereich durchführen, indem man auf den Hinweis zum Versions-Update oben auf jeder Seite im Admin-Bereich klickt:
Betroffen von der aktuellen Sicherheitslücke sind sehr viele Webseiten: Alleine das Jetpack-Plugin soll laut Dede über eine Million Nutzer haben. Neben dem ebenfalls betroffenen Standard-Theme, das mit jeder neuen WordPress-Installation ausgeliefert sind, könnten noch deutlich mehr, bisher nicht entdeckte Plugins angreifbar sein: Alle Dateien, die das „genericons“-Paket mit der unsicheren example.html Datei benutzen, könnten potentiell angreifbar sein, solange die Datei nicht gelöscht wurde.
Letzte Computer News:
Mehr Tipps zu Erneut XSS-Sicherheitslücke in Wordpress - Zahlreiche Webseiten in Gefahr
Ein Problem bei dem Internet-Dienstleister Cloudflare hat dazu geführt, dass weltweit zahl...
Über eine Sicherheitslücke in dem Microsoft Webserver IIS, dem Internet Information Server, v...
Der Kryto-Trojaner "CTB-Locker" hat es (wie der gerade in Deutschland und Österreich sehr ...
- Gefahr betr. Trojaner??
Hallo liebe Foren-User,ich möchte mal um eure Meinung bitten:Seit einigen Wochen,...
- Fritzbox-Firmware-7-57-und-7-31-von-AVM-dichten-Sicherheitsluecke-ab
https://www.heise.de/news/Fritzbox-Firmware-7-57-und-7-31-von-AVM-dichten-Sicherheitsluecke-ab-92947...
- Sept.-22 : kritische-sicherheitsluecke-bei-chrome-browser
https://www.t-online.de/digital/internet-sicherheit/sicherheit/id_100048518/google-warnt-kritische-s...
- Gefahr für Lenovo-Laptops durch vorinstallierte Adware
Lenovo liefert Läppis mit vorinstallierter Adware aus:http://www.heise.de/security/meldung/Gefahr-f...
- Forum mit WordPress?
Hi, ich bräuchte einmal eure Hilfe bei einer Webseite die ich aktuell mache. Und zwar erstelle ich ...
Erneut XSS-Sicherheitslücke in Wordpress - Zahlreiche Webseiten in Gefahr