Exploit für WordPress verfügbar
Alex Günsche · 10. Januar 2007
Es ist seit heute ein Exploit für WordPress verfügbar, der den Admin-Benutzer sowie das gehashte Admin-Passwort verrät. Betroffen sind WP-Versionen unter 2.0.6 auf Servern mit register_globals=On. (Das Exploit-Skript suggeriert, dass auch die Version 2.0.6 betroffen ist, doch das konnte bisher nicht reproduziert werden.) Es wird dringstens eine Aktualisierung auf die neuste Version 2.0.6 empfohlen.
Zum Hintergrund: Wie funktioniert der Exploit?
In der PHP-Datei wp-trackback.php wird die externe Dateneingabe nicht korrekt gefiltert, so das eine SQL-Injektion möglich ist. Was heißt das?
Wenn ein Zugriff auf die Datenbank stattfindet, so werden alle Eingaben durch Anführungszeichen abgegrenzt. Enthält die Anfrage ein Anführungszeichen zuviel oder zuwenig, so wird der weitere Text als SQL-Befehl interpretiert. Bei der SQL-Injektion wird das gezielt ausgenutzt, indem Anführungszeichen von außen eingegeben werden. Wenn diese vor dem Datenbankzugriff von der jeweiligen Anwendung nicht ausgefiltert oder maskiert werden, so kann man von außen SQL-Befehle in die Datenbank einfügen.
Der der derzeit kursierende Exploit ist relativ harmlos: Er liest nur die Benutzertabelle aus und verrät das gehashte Admin-Passwort. Damit beweist der Autor, dass (und wie) die Lücke ausnutzbar ist, ohne direkten Schaden anzurichten. Doch natürlich lässt sich der Exploit mit ein bissel Knoffhoff und wenig Aufwand so umstricken, dass er in die Datenbank schreibt, nämlich etwa einen neuen Benutzer mit Adminrechten.
