Es werden PoC-Exploits für zwei Sicherheitslücken in WordPress vorgestellt

12 Mai 2017
Es werden PoC-Exploits für zwei Sicherheitslücken in WordPress vorgestellt

Die eine Lücke erlaubt einen Fernzugriff auf die Codeausführung (Remotecodeausführung) und die andere –  Links für die Kennwortzurücksetzung zu erhalten.

Der freie Sicherheitsforscher Dawid Golunski stellte einen PoC-Exploit für eine Schwachstelle in WordPress 4.6 (CVE-2016-10033) vor, die einen Fernzugriff auf die Codeausführung ermöglicht.

Darüber hinaus erläuterte der Experte Einzelheiten über die Sicherheitslücke (CVE-2017-8295) in der letzten und beliebten CMS-Version.

Die Lücke CVE-2016-10033 befindet sich in der Bibliothek PHPMailer und kann von einem externen, unbefungen Angreifer zur Kontrollübernahme über den Applikationsserver ausgenutzt werden, und zwar da wo sich die anfällige WordPress-Kernversion (mit Standardeinstellungen) befindet.

Für die erfolgreiche Durchführung des Angriffes bedarf es keines zusätzlichen Plugins oder besonderer Einstellungen, so Golunski. Das Problem wurde im Januar des laufenden Jahres mit dem Erscheinen von WordPress 4.7.1. behoben.

Außerdem offenbarte Golunski eine weitere Information und stellte ein PoC-Exploit für eine noch nicht behobene Sicherheitslücke CVE-2017-8295 vor. Das Problem wurde Mitte 2016 entdeckt und speziell Golunski fand die Schwachstelle in der Version WordPress 4.3.1.

Wie die Fachleute von BeyondSecurity erläuterten, enthalte die Funktion der Kennwortzurücksetzung im CMS eine Sicherheitslücke, die es Dritten ermögliche, unter bestimmten Bedingungen, ohne einer vorhergehenden Identifizierung, den Link mit der Kennwortzurücksetzung zu erhalten. Auf diese Weise kann der Böswillige seinen Angriff durchführen und die Kontorlle über einen fremden WordPress-Account erlangen.

Laut Golunski, haben die WordPress-Entwickler eine Vielzahl von Problemmeldungen erhalten, jedoch keineswegs darauf reagiert. Infolgedessen beschloss der Forscher die Einzelheiten über die Sicherheitslücken zu enthüllen.

Zurück zur Liste

Bitte geben Sie Ihre E-Mail Adresse ein um
NET WÄCHTER 14 Tage kostenlos zu testen.

  Ich bestätige die AGB's und Datenschutzerklärung


   Ja, ich möchte den NET WÄCHTER Newsletter abbonnieren. Mir ist bekannt, dass ich den Newsletter jederzeit abbestellen kann.


Bitte füllen Sie das Formular aus.

  Ich bestätige die AGB's, Partnervereinbarung's und Datenschutzerklärung



Vielen Dank für ihre Interesse an NET WÄCHTER Partnerprogramm und ihre Registrierung.

Ihre Anfrage wird bearbeitet und unser Channel Manager nimmt bald Kontakt mit Ihnen auf.

Hier können Sie unsere Partnerpräsentation herunterladen:
Partnerpräsentation