SQL-Einspeisung: Newsletter-Plugin für Wordpress anfällig

Die Sicherheitslücke eines Wordpress-Plugins lässt sich von Angreifern für Datenmanipulation und Enthüllung sensibler Daten ausnutzen. Eingaben in den Parameter „newsletter“ in der Datei stnl_iframe.php überprüft die Software nicht ausreichend bevor diese in SQL-Anweisungen weiter verwendet werden. Somit lassen sich SQL-Anweisungen manipulieren, indem ein Angreifer beliebigen Code einschleusen könnte.

Ein erfolgreicher Angriff könnte zum Beispiel die Administrator-Namen, Passwort-Hashes, E-Mail-Adressen und so weiter enthüllen. Dies setzt allerdings voraus, dass der Black-Hacker die Tabellen-Namen kennt. Betroffen ist die Software Newsletter 2.x für Wordpress. Ein Update gibt es derzeit nicht. Anwender können jedoch den Quellcode selbst anpassen, damit die entsprechenden Eingaben ausreichend überprüft werden. (jdo)