Slimstat für WordPress mit Sicherheitslücke

benutzerrechteFür Nutzer eines WordPress mit angeschlossener Statistik steht eventuell ein wichtiges Update an.  Denn innerhalb des beliebten Statistik-Plugin „Slimstat“ klafft eine Sicherheitslücke, mit der sich potenziell auf die Datenbank, und dadurch auf die darin enthaltenen Informationen, zugreifen lässt. Grund hierfür ist offenbar ein zu einfach gehaltener Hash mit dem die Datenübertragung zum Server verschlüsselt wird. Dieser berechnet sich aus dem Installationsdatum des Plugins, welches sich über ein wenig Recherche und den Versionen des Plugins zurückverfolgen lässt. Ist dieses erst einmal bekannt, so kann ein Schlüssel erzeugt werden über den sich dann SQL-Injection-Angriffe realisieren lassen.

Ab Version 3.9.6 soll die Lücke in Slimstats geschlossen worden sein. Es ist deshalb dringend notwendig alle eigenen WordPress-Installation nach Aktualisierungen für Slimstat – besser noch für alle dort vorhandenen Plugins – zu überprüfen und diese gegebenenfalls zu installieren. Kunden auf unseren neuen Servern mit Plesk 12 haben zusätzlich die Möglichkeit das WordPress-Toolkit zu nutzen, welches Verwaltungsaufgaben ermöglicht ohne sich auf der Seite selbst anmelden zu müssen. Also nicht nur Installation zu starten, sondern eben auch Plugins zu suchen, zu aktivieren oder zu deaktivieren, oder eben auch Updates einzuspielen. Bedingung ist hierfür nur, dass das jeweilige WordPress vom System erkannt und eingebunden wurden. Kunden mit den Benutzerkennungen „sk11-“ und „sk12-“ fallen beispielsweise hierunter.

Meldung bei Heise-Online:  WordPress-Plug-in Slimstat gefährdet Server

Dieser Beitrag wurde veröffentlicht in CMS-Systeme, Sicherheit und verschlagwortet . Bookmark setzen permalink.