Ein Sicherheitsablauf im WordPress-Plugin von wpDiscuz, der es Hackern ermöglichen kann, problemlos bösartigen Code in jede Website einzuschleusen.
Diese Schwachstelle wurde erstmals von Sicherheitsexperten bei Wordfence entdeckt, die außerdem bestätigen, dass Hacker mit dieser Schwachstelle auch in der Lage sein werden, PHP-Dateien auszuführen und beliebige Dateien auf die Website hochzuladen, auf der dieses Plugin installiert ist.
wpDiscuz bietet eine Alternative zum Kommentarsystem von WordPress, genau wie Jetpack-Kommentare, Disqus oder jedes andere bekannte Kommentar-Plugin.
Diese Sicherheitslücke wurde zuerst von Wordfence entdeckt und wpDiscuz gebeten, sie zu beheben. Nach ein paar Tagen sagten die Entwickler, sie hätten sie behoben. Doch später, im letzten Update des WordPress-Plugins, wurde dieses Problem erneut entdeckt, worauf Wordfence aufmerksam wurde und mitteilte, dass der Patch die Sicherheitslücke derzeit nicht beheben könne.
Das Problem wurde in Version 7 des WordPress-Plugins in der Funktion gefunden, die es Benutzern ermöglicht, Bilder in die Kommentare hochzuladen. Das System kann nicht erkennen, ob es sich bei der Dateierweiterung um ein Bild oder einen Schadcode handelt.
Ab sofort ist es für Webentwickler, die wpDiscuz verwenden, das Beste, davon Abstand zu nehmen, wenn das Plugin nicht innerhalb von 24 Stunden einen Patch erhält, da die Beibehaltung des Plugins Hackern ermöglichen würde, Ihre Websites und alle anderen damit verbundenen Websites zu hacken Der Host ist dem Risiko eines Hackerangriffs ausgesetzt.