Über eine massive Sicherheitslücke im Kommentarsystem-Plugin wpDiscuz können mit dem Content Management System (CMS) WordPress erstellte Internetseiten angegriffen werden. War eine solche Attacke erfolgreich, könnten die Angreifer Schadcode auf den Internet-Servern ausführen.

Die Warnmeldung der Sicherheitsforscher von Wordfence sagt, dass die Lücke noch keine CVE-Nummer zur Kennzeichnung bekommen hat. Sie ist aber schon als „kritisch“ eingestuft worden und weist dabei den höchsten möglichen CVSS Score 10 von 10 auf.

Wegen einer mangelnden Überprüfung könnten entfernte Angreifer ohne sich zu authentifizieren präparierte Dateien auf die betroffenen Server übertragen, was dann normalerweise mit der Ausführung von Schadcode endet.

wpDiskuz jetzt dringend updaten!

Von dem Problem sind 7.0.0 bis 7.0.4 betroffen. Als abgesichert gilt die Version 7.0.5. Das Plugin wird aktiv auf mehr als 80.000 mit WordPress aufgebauten Websites genutzt.