WordPress-Plug-in kann Daten offenlegen

SicherheitSicherheitsmanagement

Wer das Content-Management-System Wordpress einsetzt und das Dateimanagement mit dem “Download Shortcode”-Plug-in optimieren will, könnte damit gleichzeitig Tür und Tor für Neugierige öffnen, warnt Secunia. Das Leck ist zwar nur “moderat kritisch” – sollte aber dennoch so schnell wie möglich geschlossen werden.

Der Security-Spezialist Secunia empfiehlt, auf die neueste gepatchte Version 0.2.1 von Download Shortcode aufzurüsten. Das kostenlose Tool kann in seiner bisherigen Version dazu gebracht werden, Dateien ohne Prüfung zu übernehmen und durch Ausnutzung eines dadurch automatisiert heruntergeladenen Exploits heimlich Daten vom Server nach außen zu übertragen.

Das Plug-in kann helfen, auf Mausklick des Webnutzers Downloads zu starten. Dumm nur: die gut gemeinte Erweiterung kann missbraucht werden (Screenshot: ITespresso.de)

In seinem Advisory nennt Secunia die Lücke zwar nur “moderat kritisch”, sie sollte jedoch von Betreibern von Webseiten mit dem Open-Source-CMS WordPress ernstgenommen werden: Wer kritische Daten auf dem gleichen Server wie seine Webseiten unterbringt, muss auf Security besonders achtgeben. Gerade kleine Unternehmen, die sich keinen zweiten Server leisten können (oder wollen), setzen sich der Gefahr der “Arbitrary File Disclosure” aus.

Das Leck hatte ausnahmsweise der Hersteller selbst gefunden, zuerst gepatcht und dann den Sicherheits-Unternehmen gemeldet – auch daher bleibt es nur “moderat” kritisch.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen