Die Lücke hat das auf WordPress spezialisierte Unternehmen WordFence gefunden. Sie erlaubte es Angreifern, auf api.wordpress.org ihren eigenen Code auszuführen. Durch Kompromittieren des Update-Servers ließ sich eine beliebige URL unterschieben, von der URL Software auf WordPress-Websites automatisch heruntergeladen und installiert wurde.
Advertise on IT Security News.
Lesen Sie den ganzen Artikel: http://www.itespresso.de/2016/11/24/wordpress-luecke-zeigt-prinzipielle-schwachstelle-von-update-mechanismen-auf/