Exploit greift WordPress via Download Manager an

Posted on Posted in Hacker News

 

 

Für eine Anfang Dezember veröffentlichte Lücke in der beliebten WordPress-Erweiterung gibt es jetzt einen Exploit, mit dem jedes Skript-Kiddie ungepatchte Server kapern kann.

wordpress-logo-680x400 (1)

Anfang Dezember wurden schwerwiegende Sicherheitslücken im WordPress Download Manager bekannt und mit einem Update behoben. Ein offen im Internet verfügbaresSkript nutzt eine dieser Lücken, um einen zusätzlichen Administrator-Account anzulegen. Wer ein Shell-Skript bedienen kann, ist damit in der Lage anfällige Server zu kapern.

Die Lücken betreffen die Versionen des Download Managers vor 2.7.5. Ein Security-Advisory der Entdecker bei Sucuri erklärt die Details dazu. WordPress-Admins, die ältere Versionen des Download Managers nutzen, sollten schleunigst auf eine neuere Version umsteigen. Aktuell ist derzeit Version 2.7.81; beim Update von 2.6er-Versionen des Download Managers gibt es einige Dinge zu beachten

Quelle: heise.de


 

exploitdb

WordPress Download Manager 2.7.4 – Remote Code Execution Vulnerability

exploitdb_wp

 

Quelle: Exploit-DB 

Facebooktwittergoogle_plus