Sicherheit: WordPress 4.2 Stored XSS Lücke

security

Neue Woche – Neues Loch.

Über die WordPress Kommentar Funktion kann laut klikki.fi ein nicht angemeldeter Benutzer JavaScript in die WordPress Kommentare einschleusen. Diese Skripte werden dann ausgeführt, sobald der Kommentar gelesen wird.
Wenn die Ausführung durch einen eingeloggten Administrator geschieht, dann kann der Angreifer die Lücke nutzen um beliebigen Code auf dem Server auszuführen (Admin Kennwörter ändern, neue Admin Accounts anlegen – sprich alles, was der eingeloggte Admin auch machen könnte).

Damit das alles klappt muss der Kommentar sehr lang sein, genauer gesagt größer als 64kb. Danach wird der Kommentar beim Einfügen in die Datenbank abgeschnitten, was zu einer falschen HTML Ausgabe führt.

Genauer Informationen und ein Proof of Concept inkl. Video findet ihr bei Klikki

Betroffen sind mindestens die WordPress Versionen 4.2, 4.1.2, 4.1.1, 3.9.3

Bis es einen Patch gibt solltet ihr Kommentare deaktivieren und keine neuen Kommentare freigeben.

Update:

Laut WordPress Tavern ist ein Patch in Arbeit.

A patch from the WordPress security team should be forthcoming. At this time the team could not provide an ETA, but in the meantime there are a few things users can do to mitigate the risk.

 

Update 2:

Die Lücke wurde soeben mit den Versionen 4.1.4 und 4.2.1 gestopft!
Was allerdings auch bedeutet, dass ältere Versionen immer noch von dem Problem betroffen sind!

VIA

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Kommentar verfassen