Die Schwachstelle wurde vom Analysesoftware-Hersteller RIPS Technologies entdeckt und erfordert Programmierkenntnisse sowie einen Zugriff auf das WordPress-Backend mit mindestens Autorenrechten. Betroffen sind alle WordPress Versionen einschließlich 4.9.6. Das WordPress Team wurde bereits im November 2017 darüber informiert, doch einen Patch gibt es bislang dennoch nicht.

Noch wurden keine aktiven Exploits der Schwachstelle beobachtet. Dennoch sollte Nutzer eine sichere Username-Passwort-Kombination verwenden, um Einbrüchen vorzubeugen.

In einem Blog hat RIPS Technologies weitere Details zur Schwachstelle sowie ein Demo-Video mit Proof-of-Concept-Code veröffentlicht. Weiterhin gibt es dort einen inoffiziellen Patch, der das Ausnutzen der Schwachstelle verhindern soll. Die Installation erfolgt auf eigenes Risiko.

(pp, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE