Menü
Alert!
Security

Wordpress-Plugin bleibt ungefixt

Ein Sicherheitsforscher deckte zwei Lücken in der Wordpress-Erweiterung Event-Registration auf; die Hersteller reagieren jedoch nicht.

Von
vorlesen Drucken Kommentare lesen 3 Beiträge

Eine SQL-Injection-Lücke und ein persistentes Cross-Site-Scripting-Problem hat Michael Helwig in dem Wordpress-Plugin Event-Regsitration aufgedeckt und dem Hersteller gemeldet. Nachdem dieser nicht reagierte, kontaktierte er das Wordpress-Security-Team. Auch da keine Reaktion; aber immerhin verschwand die Erweiterung aus dem offiziellen Plugin-Verzeichnis von Wordpress.

Mittlerweile hat Hellwig die Sicherheitslücken in Event-Regsitration öffentlich gemacht und zumindest bei der XSS-Lücke auch dokumentiert, wie sich diese ausnutzen ließe, um letztlich den Server komplett zu übernehmen. Wer also Wordpress mit Event-Registration einsetzt, sollte es schleunigst deaktivieren.

Helwig demonstriert das Ausnutzen der persistenten XSS-Lücke.

(ju)