Bisher kein offizielles Update – Könnte sowohl zur Löschung von Dateien als auch zur Ausführung von Schadcode genutzt werde

Wer eine Software zur einfachen Erstellung einer eigenen Webseite sucht, greift dabei oft zu Wordpress. Das Content Management System erfreut sich sich seit Jahren ungebrochener Popularität. Um so unerfreulicher ist es dann, wenn eine Sicherheitslücke in der Software auftaucht, und das gilt insbesondere, wenn es für diese noch keinen Patch gibt.

Bug

Eine schwere Lücke in Wordpress ermöglicht Angreifern unter gewissen Voraussetzungen das Löschen beliebiger Dateien, warnen die Sicherheitsforscher von Ripstech. Theoretisch könnte auf diesem Weg sogar beliebiger Code zur Ausführung gebracht werden.

Besonders unerfreulich: Die Lücke ist den Entwicklern angeblich seit sieben Monaten bekannt, trotzdem hat man bisher keinen Patch zur Behebung entwickelt. Diese lange Wartezeit hat die Sicherheitsexperten auch dazu veranlasst, den Bug jetzt öffentlich zu machen, immerhin besteht die Gefahr, dass parallel auch andere schon von dem Fehler wissen, und ihn bereits aktiv ausnutzen. Durch den Blog-Post soll nun der Druck auf Wordpress erhöht werden, ein passendes Update zu liefern.

Hürden

Von dem Fehler sind sämtliche Wordpress-Versionen inklusive der aktuellsten Ausgabe 4.9.6 betroffen. Ein Grund dafür, dass man bei Wordpress den Bericht so lange liegen hat lassen, mag sein, dass solch ein Angriff recht hohe Hürden hat. So müsste ein Angreifer Zugang zum betreffenden Wordpress-Backend haben, um eine Attacke durchzuführen. Relevant wäre dies also vor allem bei gemeinschaftlich genutzten Webseiten.

Trotz dieser Beschränkungen ist klar, dass es sich hierbei um einen sicherheitsrelevanten Bug handelt, der bereinigt werden sollte. Ripstech bietet auf seiner Webseite einen inoffiziellen Patch an, wann ein offizielles Update folgt, ist derzeit aber noch unbekannt. (apo, 27.6.2018)