30.12.2013, 20:13:22
CERT-Bund Meldung
-----------------
KURZINFO CB-K13/1091
Titel: Wordpress: Eine Schwachstelle ermöglicht das
Ausführen beliebigen Programmcodes mit den Rechten
des Dienstes
Datum: 30.12.2013
Software: Wordpress
Plattform: Wordpress
Auswirkung: Ausführen beliebigen Programmcodes mit den Rechten
des Dienstes
Remoteangriff: Ja
Risiko: hoch
Bezug: http://web.nvd.nist.gov/view/vuln/detail...-2013-7102
BESCHREIBUNG
WordPress ist ein weit verbreitetes Content Management System für
Web-Blogs.
Eine Schwachstelle beim Hochladen von Dateien in OptimizePress 1.x
ermöglicht einem entfernten, nicht authentifizierten Angreifer beliebige
Dateien mit den Rechten des Dienstes auszuführen.
[1] Schwachstelle CVE-2013-7102 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail...-2013-7102>
[2] WordPress OptimizePress Theme - Schwachstelle beim Laden von Dateien
<http://seclists.org/fulldisclosure/2013/Dec/127>
[3] WordPress OptimizePress Update Information
<http://help.optimizepress.com/hc/en-us/a...my-content>
Mit freundlichen Grüßen
das Team CERT-Bund
--------------------------------------------
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Referat C 21
Godesberger Allee 185 -189
53175 Bonn
Postfach 20 03 63
53133 Bonn
Telefon:
+49 (0)228 99 9582 222
Telefax:
+49 (0)228 99 9582 5427
E-Mail: wid-kontakt@bsi.bund.de
Internet: www.cert-bund.de
--------------------------------------------
Die Authentizität dieser Nachricht kann anhand der digitalen Signatur überprüft werden. Die hierfür zum Einsatz kommenden öffentlichen Schlüssel sowie die Verfahren sind auf den Seiten des CERT-Bund https://www.cert-bund.de/wid-sig aufgeführt und erläutert.
Die Inhalte dieser CERT-Bund Kurzinfo repräsentieren den Kenntnisstand des BSI zum Zeitpunkt der Versendung. Eine Haftung für eventuelle Schäden oder Konsequenzen, die durch die direkte oder indirekte Nutzung der Inhalte entstehen, wird, außer für die Fälle der Verletzung von Leben, Körper und Gesundheit sowie von Vorsatz oder grober Fahrlässigkeit, ausgeschlossen.
Die CERT-Bund Kurzinfos dürfen nur kopiert und weitergegeben werden, wenn dies im vollständigen Wortlaut, ohne Änderungen und mit BSI-Copyright-Informationen geschieht.
-----------------
KURZINFO CB-K13/1091
Titel: Wordpress: Eine Schwachstelle ermöglicht das
Ausführen beliebigen Programmcodes mit den Rechten
des Dienstes
Datum: 30.12.2013
Software: Wordpress
Plattform: Wordpress
Auswirkung: Ausführen beliebigen Programmcodes mit den Rechten
des Dienstes
Remoteangriff: Ja
Risiko: hoch
Bezug: http://web.nvd.nist.gov/view/vuln/detail...-2013-7102
BESCHREIBUNG
WordPress ist ein weit verbreitetes Content Management System für
Web-Blogs.
Eine Schwachstelle beim Hochladen von Dateien in OptimizePress 1.x
ermöglicht einem entfernten, nicht authentifizierten Angreifer beliebige
Dateien mit den Rechten des Dienstes auszuführen.
[1] Schwachstelle CVE-2013-7102 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail...-2013-7102>
[2] WordPress OptimizePress Theme - Schwachstelle beim Laden von Dateien
<http://seclists.org/fulldisclosure/2013/Dec/127>
[3] WordPress OptimizePress Update Information
<http://help.optimizepress.com/hc/en-us/a...my-content>
Mit freundlichen Grüßen
das Team CERT-Bund
--------------------------------------------
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Referat C 21
Godesberger Allee 185 -189
53175 Bonn
Postfach 20 03 63
53133 Bonn
Telefon:
+49 (0)228 99 9582 222
Telefax:
+49 (0)228 99 9582 5427
E-Mail: wid-kontakt@bsi.bund.de
Internet: www.cert-bund.de
--------------------------------------------
Die Authentizität dieser Nachricht kann anhand der digitalen Signatur überprüft werden. Die hierfür zum Einsatz kommenden öffentlichen Schlüssel sowie die Verfahren sind auf den Seiten des CERT-Bund https://www.cert-bund.de/wid-sig aufgeführt und erläutert.
Die Inhalte dieser CERT-Bund Kurzinfo repräsentieren den Kenntnisstand des BSI zum Zeitpunkt der Versendung. Eine Haftung für eventuelle Schäden oder Konsequenzen, die durch die direkte oder indirekte Nutzung der Inhalte entstehen, wird, außer für die Fälle der Verletzung von Leben, Körper und Gesundheit sowie von Vorsatz oder grober Fahrlässigkeit, ausgeschlossen.
Die CERT-Bund Kurzinfos dürfen nur kopiert und weitergegeben werden, wenn dies im vollständigen Wortlaut, ohne Änderungen und mit BSI-Copyright-Informationen geschieht.
Mit freundlichen Grüßen / Best Regards
Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg
Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de
Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg
Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de