Beim CMS WordPress gibt es eine massive Sicherheitslücke, deren Schliessung wohl erst im August erfolgen kann. Wie bekannt wurde, sind bei dem Content Management System Angriffe über die unverschlüsselten Cookies möglich. Das Cookie, welches Angriffe der verschiedensten Art zulässt, wird als nicht verschlüsseltes Programm gesendet.

Entdeckt wurde die jüngste Lücke durch eine Technikerin von EFF. Ihr ist aufgefallen, dass dieses Schlüssel-Cookie, dessen Inhalt mit „wordpress_logged_in“ gekennzeichnet ist, unverschlüsselt übermittelt wird. Nach gängiger Praxis handelt es sich hierbei um einen Lapsus, der eine beachtliche Gefährdung der Sicherheit darstellt. Dabei wird das Cookie immer dann gesetzt, wenn durch den Endanwender die Anmeldung mit gültigem Namen und Passwort erfolgt.

Zeigt der Browser schliesslich dem WordPress-Server eben jenes Cookie vor, erfolgt der Einlass des Anwenders. Trotz eingeschalteter Zwei-Faktor-Authentifizierung konnte sich Yan Zhu also Zugang zu WordPress verschaffen, ohne auf ein Passwort oder einen Benutzernamen angewiesen zu sein.

Mit diesem Cookie hat ein Angreifer die Möglichkeit, sämtliche Funktionen von WordPress in Anspruch zu nehmen. So kann er beispielsweise vollkommen problemlos die E-Mail-Adresse des eigentlichen Kontobesitzers anpassen. Auch das deaktivieren der Zwei-Faktor-Authentifizierung ist so möglich. Mit dem Cookie allein ist es allerdings nicht möglich, das Passwort anzupassen. Hierfür muss ein zweites Cookie vorhanden sein, welches glücklicherweise verschlüsselt übermittelt wird. Der rechtmässige Besitzer kann jedoch aus dem eigenen Account durch den Angreifer ausgeschlossen werden.