Ältere Versionen des Disqus-Plugins für WordPress angreifbar

Wordpress_csrf-exploit-048f5a2110c80a5aDisqus ist ein seitenübergreifendes Kommentarsystem für Internetseiten, und das passende Plug-in gehört zu den am meisten heruntergeladenen Erweiterungen für WordPress.

Sicherheitsforscher Nik Cubrilovic hat nach einem Bericht von Heise Details zu mehreren Lücken veröffentlicht, die er im Disqus-Plug-in für WordPress entdeckt und bereits Anfang Juni an Disqus gemeldet hat. Die Entwickler haben das Plugin auch Ende desselben Monats aktualisiert.

Alle Ausgaben des Disqus-Plugins bis inklusive Version 2.75 sind angreifbar. Die aktuelle Version des WordPress-Plugins ist 2.77 und sie kann über das WordPress Plugin Directory heruntergeladen werden.

Bei den verwundbaren Versionen von Disqus kann ein Angreifer dem Administrator seine Session der WordPress-Seite über eine Cross-Site Request Forgery (CSRF) stehlen oder auch die Einstellungen des Plug-ins löschen.

Das Opfer muss dazu nur eine vom Angreifer wie bei dem im Headerbild gezeigten Exploit präparierte Internetsseite im Browser aufrufen. 

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Browser, Internet, News, Programmierung, Sicherheit, Tipps und Tricks abgelegt und mit , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.