WordPress-Plug-in kann Daten offenlegen

Manfred Kohlen,
SicherheitSicherheitsmanagement

Der Security-Spezialist Secunia empfiehlt, auf die neueste gepatchte Version 0.2.1 von Download Shortcode aufzurüsten. Das kostenlose Tool kann in seiner bisherigen Version dazu gebracht werden, Dateien ohne Prüfung zu übernehmen und durch Ausnutzung eines dadurch automatisiert heruntergeladenen Exploits heimlich Daten vom Server nach außen zu übertragen.

Das Plug-in kann helfen, auf Mausklick des Webnutzers Downloads zu starten. Dumm nur: die gut gemeinte Erweiterung kann missbraucht werden (Screenshot: ITespresso.de)

In seinem Advisory nennt Secunia die Lücke zwar nur “moderat kritisch”, sie sollte jedoch von Betreibern von Webseiten mit dem Open-Source-CMS WordPress ernstgenommen werden: Wer kritische Daten auf dem gleichen Server wie seine Webseiten unterbringt, muss auf Security besonders achtgeben. Gerade kleine Unternehmen, die sich keinen zweiten Server leisten können (oder wollen), setzen sich der Gefahr der “Arbitrary File Disclosure” aus.

Das Leck hatte ausnahmsweise der Hersteller selbst gefunden, zuerst gepatcht und dann den Sicherheits-Unternehmen gemeldet – auch daher bleibt es nur “moderat” kritisch.

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus
Manfred Kohlen
Autor: Manfred Kohlen
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen