Eine Sicherheitslücke im Kommentarsystem wpDiscuz macht mit dem Content Management System (CMS) WordPress erstellte Websites angreifbar. Nach einer erfolgreichen Attacke könnten Angreifer Schadcode auf Web-Servern ausführen.
Wie aus einer Warnmeldung der Sicherheitsforscher von Wordfence hervorgeht, steht die Vergabe einer CVE-Nummer zur Kennzeichnung der Lücke noch aus. Die Schwachstelle ist als "kritisch" eingestuft und weist den höchstmöglichen CVSS Score 10 von 10 auf.
Aufgrund einer mangelnden Prüfung könnten entfernte Angreifer ohne Authentifizierung präparierte Dateien auf Server schieben. Das kann in der Ausführung von Schadcode enden.
Jetzt patchen!
Konkret bedroht sind die Versionen 7.0.0 bis 7.0.4. Abgesichert ist die Ausgabe 7.0.5. Das Plugin kommt aktiv auf mehr als 80.000 WordPress-Websites zum Einsatz.
Quelle: Kritische Lücke mit Höchstwertung in WordPress-Plugin wpDiscuz | heise online