Menü
Security

Ältere Versionen von Disqus für WordPress angreifbar

Ein Sicherheitsforscher hat Sicherheitslücken im beliebten Disqus-Plug-in für WordPress entdeckt. Administratoren sollten sicherstellen, dass die entsprechenden Updates installiert sind.

Von
vorlesen Drucken Kommentare lesen 5 Beiträge

Sicherheitsforscher Nik Cubrilovic hat Details zu mehreren Lücken veröffentlicht, die er im Disqus-Plug-in für WordPress entdeckt hat. Disqus ist ein Site-übergreifendes Kommentarsystem für Webseiten und das dazugehörige Plug-in ist eine der am meisten heruntergeladenen Erweiterungen für WordPress. Cubrilovic hatte die Lücken bereits Anfang Juni an Disqus gemeldet und die Entwickler haben das Plugin Ende des selben Monats aktualisiert.

Besucht ein Opfer eine so präparierte Webseite, führt das Disqus-Plug-in den eingebetteten Code im Kontext der WordPress-Installation aus

Alle Ausgaben des Plugins bis einschließlich Version 2.75 sind angreifbar. Die aktuelle Version von Disqus für WordPress ist 2.77 und kann über das WordPress Plugin Directory heruntergeladen werden. Da Cubrilovic nun die Details der von ihm entdeckten Lücken öffentlich gemacht hat, sollten Nutzer des Plug-ins sicherstellen, dass ihre Installation auf dem neuesten Stand ist. Bei verwundbaren Versionen des Plug-ins kann ein Angreifer die Session des Administrators der WordPress-Seite über eine Cross-Site Request Forgery (CSRF) stehlen oder die Einstellungen des Plug-ins löschen. Dazu muss das Opfer allerdings eine vom Angreifer präparierte Webseite besuchen. (fab)