Menü
Security

WordPress-Modul Uploadify als Einfallstor

Von
vorlesen Drucken Kommentare lesen 1 Beitrag

Das unter anderem in der WordPress-Erweiterung FoxyPress verwendete Modul "Uploadify" enthält eine Sicherheitslücke, für die mittlerweile ein Modul für den Schwachstellentester Metasploit vorliegt. Über die Lücke soll sich beliebiger Code auf dem Server ausführen lassen.

Uploadify ist ein jQuery-Plug-in zum gebündelten Upload mehrerer Dateien auf einen Server. FoxyPress ist ein E-Commerce-Modul für die Blogging-Software WordPress. FoxyPress ist bis einschließlich Revision 0.4.2.1 gegen das Metasploit-Modul verwundbar; aktuell ist FoxyPress 0.4.2.3. Uploadify kommt aber auch in diversen anderen Themes und Plug-ins zum Einsatz; IT Pixie führt eine Liste.

In seinem Blog merkt der Sicherheitsforscher Darren Martyn an, für Angreifer sei es mittlerweile offenbar lohnender, Sicherheitslücken in vielerorts verwendeten PHP-Bibliotheken zu suchen als in den Web-Anwendungen selbst. So seien diverse auf Packet Storm veröffentlichte Zero-Day-Exploits für Wordpress letztlich auf Uploadify zurückzuführen.

Webmaster sollten auf ihren Servern kontrollieren, ob sie womöglich eine verwundbare Version von Uploadify einsetzen und ob es eine Aktualisierung für die Software gibt, die das Plug-in verwendet. Das PHP-Modul ist meistens in einem Pfad wie "uploadify/uploadify.php", "uploader/uploadify.php" oder "uploadify/upload.php" zu finden. (ghi)