{"id":217085,"date":"2019-04-16T00:24:00","date_gmt":"2019-04-15T22:24:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=217085"},"modified":"2020-10-23T10:53:08","modified_gmt":"2020-10-23T08:53:08","slug":"verrgerter-sicherheitsforscher-verffentlicht-0-days-wordpress-schwachstellen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/04\/16\/verrgerter-sicherheitsforscher-verffentlicht-0-days-wordpress-schwachstellen\/","title":{"rendered":"Verärgerter Sicherheitsforscher veröffentlicht 0-days WordPress-Schwachstellen"},"content":{"rendered":"

\"\"In den letzten Tagen wurden gleich drei 0-day-Schwachstellen in WordPress-Plugins \u00f6ffentlich. Offenbar hat ein ver\u00e4rgerter Sicherheitsforscher damit versucht, auf ungen\u00fcgende Reaktionen der Verantwortlichen zu reagieren, gef\u00e4hrdet damit aber 160.000 WordPress-Sites. <\/p>\n

<\/p>\n

In der vergangenen Woche wurden 0-day-Schwachstellen sowohl in den Plugins Yuzo Related Posts<\/a> als auch in Yellow Pencil Visual Theme Customizer<\/a> bekannt. Die Plugins werden bei 60.000 bzw. 30.000 Websites verwendet und durch Exploits bereits angegriffen. Beide hier genannten Plugins wurden etwa zum Zeitpunkt der Ver\u00f6ffentlichung der 0-day-Schwachstellen aus dem WordPress-Plugin-Repository<\/a> entfernt. Betreiber von WordPress-Blogs haben daher nur die Option, die Plugins zu entfernen (ein Grund, warum ich in meinen Blogs so wenig Plugins als irgend m\u00f6glich einsetze). Drei Tage nach Bekanntwerden der Schwachstelle gab Yellow Pencil einen Patch<\/a> heraus. <\/p>\n

Das Plugin Yuzo Related Posts ist dagegen bisher nicht im Plugin-Repository zur\u00fcckgekehrt. \u00dcber einige dieser Schwachstellen in Plugins hatte ich hier im Blog berichtet. Und das Plugin Social Warfare<\/a> (auf 70,000 Sites verwendet), wird seit 3 Wochen<\/a> angegriffen. Die Entwickler dieses Plugins haben den Fehler zwar schnell gepatcht. Trotzdem wurden Websites, die es verwendet haben, bis zur Verf\u00fcgbarkeit des Patches gehackt.<\/p>\n

Arstechnica bringt in diesem Artikel<\/a> nun etwas Licht in die Angelegenheit. In allen drei F\u00e4llen waren die Exploits verf\u00fcgbar, nachdem eine Website namens Plugin Vulnerabilities<\/a> detaillierte Informationen \u00fcber die zugrunde liegenden Schwachstellen ver\u00f6ffentlicht hatte. Die Beitr\u00e4ge enthielten gen\u00fcgend Proof-of-Concept-Exploit-Code und andere technische Details, um es trivial zu machen, gef\u00e4hrdete Websites zu hacken. Tats\u00e4chlich schien ein Teil des bei den Angriffen verwendeten Codes kopiert worden zu sein.<\/p>\n

Alle drei Beitr\u00e4ge zu 0-day-Schwachstellen in Plugin kamen mit dem Hinweis, dass der ungenannte Autor sie ver\u00f6ffentlicht, um gegen \"die Moderatoren des WordPress Support Forums\" zu protestieren. Der Autor sagte Ars, dass er erst dann versuchte, Entwickler zu benachrichtigen, wenn die 0-day-Schwachstellen bereits ver\u00f6ffentlicht waren.<\/p>\n

\"Unsere aktuelle Offenlegungsrichtlinie ist es, Schwachstellen vollst\u00e4ndig offenzulegen und dann zu versuchen, den Entwickler \u00fcber das WordPress Support-Forum zu informieren, obwohl die Moderatoren dort… zu oft einfach diese Nachrichten l\u00f6schen und niemanden dar\u00fcber informieren\", schrieb der Autor in einer E-Mail. Also in Kurz: Der Entdecker der Sicherheitsl\u00fccken \u00e4rgert sich \u00fcber die Forenmoderatoren, publiziert Schwachstellen und gef\u00e4hrdet damit die Nutzer dieser Plugins.<\/p>\n","protected":false},"excerpt":{"rendered":"

In den letzten Tagen wurden gleich drei 0-day-Schwachstellen in WordPress-Plugins \u00f6ffentlich. Offenbar hat ein ver\u00e4rgerter Sicherheitsforscher damit versucht, auf ungen\u00fcgende Reaktionen der Verantwortlichen zu reagieren, gef\u00e4hrdet damit aber 160.000 WordPress-Sites.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,1574],"tags":[4328,4349],"class_list":["post-217085","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-wordpress","tag-sicherheit","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/217085","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=217085"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/217085\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=217085"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=217085"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=217085"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}