zurück zum Artikel

Ein Sicherheitsforscher deckte zwei Lücken in der Wordpress-Erweiterung Event-Registration auf; die Hersteller reagieren jedoch nicht.

Eine SQL-Injection-Lücke und ein persistentes Cross-Site-Scripting-Problem hat Michael Helwig in dem Wordpress-Plugin Event-Regsitration aufgedeckt und dem Hersteller gemeldet. Nachdem dieser nicht reagierte, kontaktierte er das Wordpress-Security-Team. Auch da keine Reaktion; aber immerhin verschwand die Erweiterung aus dem offiziellen Plugin-Verzeichnis von Wordpress.

Mittlerweile hat Hellwig die Sicherheitslücken in Event-Regsitration [1] öffentlich gemacht und zumindest bei der XSS-Lücke auch dokumentiert [2], wie sich diese ausnutzen ließe, um letztlich den Server komplett zu übernehmen. Wer also Wordpress mit Event-Registration einsetzt, sollte es schleunigst deaktivieren.

(ju [3])

URL dieses Artikels:
https://www.heise.de/-3198956

Links in diesem Artikel:
[1] http://seclists.org/bugtraq/2016/May/34
[2] https://www.codemetrix.net/security/2016/04/25/hacking-wordpress-via-xss-event-registration.html
[3] mailto:ju@ct.de

Copyright © 2016 Heise Medien