In der aktuellen Version des Content-Management-Systems (CMS) Wordpress seien den Entwicklern zufolge drei Sicherheitslücken geschlossen worden. Eine der Lücken wurde mit dem Bedrohungsgrad "hoch" eingestuft und ermögliche Angreifern, die auf Websites über die Rechte zur Veröffentlichung von Posts verfügen, die Verankerung von Schadcode auf Seiten.

Der Code werde dann ausgeführt, wenn ein Admin sich einen solchen Post in der Vorschau ansieht - so Sicherheitsforscher von Wordfence in einem Beitrag. Infolge einer erfolgreichen Attacke sei Angreifern die volle Kontrollübernahme über eine Website möglich. Die zur Entferung von Schadcode-Skripten aus Posts konzipierte Funktion wp_kses beinhalte den Fehler, der für die Sicherheitslücke verantwortlich ist. Betroffen seien die Wordpress-Versionen 5.9.0 und 5.9.1.

Weiterhin könnten Sicherheislücken in der freien JavaScript-Bibliothek jQuery und im Block Editor missbraucht werden, um Schadcode im Browser von Opfern auszuführen. Voraussetzung für einen Angriff sei, dass Opfer auf einen präparierten Link klicken. Die Ausnutzung der Lücken sei insgesamt vergleichsweise aufwendig - sie wurden mit "mittel" eingestuft.

In Wordpress 5.9.2 seien die Lücken laut eines Blog-Beitrags der Entwickler geschlossen worden. Administratoren wird empfohlen, die neue Version möglichst bald zu installieren.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE