Schadcode über Wordpress-Plug-In

Das Wordpress-Plug-In "Is Human" prüft bei Blog-Einträgen, ob es sich bei der Person, die etwas auf einer Webseite eintragen will, um einen Menschen handelt. So vermeidet man, dass beispielsweise Bots eine Kommentar-Funktion nutzen, um automatisiert Beiträge (etwa Spam) auf Webseiten hochzuladen.

Das is_human()-Plug-In für Wordpress versäumt es aber, Eingaben, die der "Type"-Parameter empfängt, genau genug zu prüfen. Er gibt sie vielmehr direkt an die "Eval()"-Funktion weiter. Angreifer können auf diesem Weg ein schädliches PHP-Skript auf den Wordpress-Server bringen und ausführen.

Abhilfe gibt es im Moment nicht. Der Fehler tritt in der aktuellen Version is_human() 1.4.2 auf. Sicherheitsexperten, die auf die Lücke aufmerksam machen, empfehlen, ein anderes Plug-In zu nutzen, so lange die Schwachstelle besteht.