Open Source im professionellen Einsatz

WordPress: Fehler im Passwort-Reset

WordPress ist das derzeit am weitesten verbreitete Content-Management-System (CMS) im Web. Es basiert auf PHP/MySQL und wird von fast 30 Prozent der meistbesuchten Websites verwendet. Wie viele andere CMS auch besitzt WordPress ein Passwort-Reset-Feature. Dieses Feature enthält allerdings in WordPress eine kritische Schwachstelle. Ein entfernter Angreifer kann sie ausnutzen, um an einen Passwort-Reset-Link zu gelangen ohne sich vorher anzumelden. Damit kann er dann unbericht Zugriff auf andere Wordpress Accounts erlangen indem er neue Passwörter für diese erzeugt. 

Das Advisory beschreibt drei mögliche Szenarien wie der Angreifer an den Link gelangen kann. Alle Szenarien setzen voraus, dass der Angreifer auf der WordPress-Seite den Reset-Button drückt und das SERVER_NAME-Feld  auf einen von ihm gewünschten Hostnamen ändert. Anschließend gibt es für den Angreifer folgende drei Möglichkeiten an den Reset-Link zu gelangen.

Die erste Möglichkeit besteht darin in einem ersten Schritt eine Denial-of-Service-Attacke gegen den Mailserver des Anwenders auszuführen.  Dann würde dieser Server einen Bounce-Back auslösen und die Reset-Mail zurückschicken. Aufgrund des modifizierten From-/Return-To-Feldes würde diese dann an den Angreifer geschickt. Dieses Szenario wird nicht immer funkionieren, da Mail-Server vor solchen Attacken geschützt werden können. Alternativ kann der Angreifer darauf spekulieren, dass der Anwender vielleicht im Urlaub ist, oder aus einem anderen Grund einen Autoresponder für seine Mails aktiviert hat. Auch dann würde der Angreifer an den Reset-Link gelangen. Sollte auch dies nicht gelingen, so könnte der Angreifer einfach dafür sorgen, dass mehrere Reset-Mails gesendet werden, indem er oft genug auf den Reset-Button drückt. Dann werden sehr viele solcher Mails an den Anwender geschickt. Dieser wundert sich dann eventuell über die vielen Mails und antwortet auf eine davon, um nachzufragen was genau los ist. In diesem Moment würde die Antwort inklusive des Reset-Links dann auch an den Angreifer geschickt werden.

In allen drei Szenarien gelangt der Angreifer so an den Reset-Link, und kann damit das Passwort des WordPress-Anwenders beliebig ändern. Damit hat er dann vollen Zugriff auf dessen Account.

Betroffen von diesem Problem sind die Versionen 4.7.4 und älter.

comments powered by Disqus

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.