Websupporter

Vor allem über WordPress.

WordPress 4.2.1 behebt schwerwiegenden XSS Angriffsvektor

29. April
2015

Das WordPress Update 4.2.1, welches wenige Tage nach der Version 4.2 am 27. April 2015 veröffentlicht wurde, behebt eine gravierende Sicherheitslücke in WordPress, welche wohl schon seit etwas längerer Zeit bestand aber erst jetzt entdeckt wurde. Im entsprechenden Security Release von WordPress heißt es:

Vor wenigen Stunden wurde das WordPress Team auf eine Cross-Site Scripting Anfälligkeit hingewiesen, welche es Kommentatoren ermöglichte eine Seite zu kompromittieren.

Über die Kommentarfunktion konnte der Angreifer unter bestimmten Umständen Schadcode einfügen, welcher in der Datenbank hinterlegt wurde. So war es möglich, den Admin Account zu übernehmen, sobald der Administrator den entsprechenden Kommentar aufrief. Entsprechend zügig wurde die Lücke geschlossen und das Update ausgeliefert.

Photo Credit: Colin / Wikimedia Commons / CC-BY-SA-4.0

Über den Autoren

Seine erste Webseite hat David Remer 1998 in HTML verfasst. Wenig später war er fasziniert von DHTML und JavaScript. Nach jahrelanger Freelancerei arbeitete er zunächst für Inpsyde und ist heute Entwickler bei Automattic. Außerdem hat er das Buch "WordPress für Entwickler" verfasst.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.