Kritische Sicherheitslücke in Wordpress-Plugin

IT-Sicherheitsforschende von Patchstack haben eine kritische Sicherheitslücke in einem weit verbreiteten Wordpress-Plugin entdeckt. Es handelt sich um Essential Addons for Elementor – ein Plugin mit über einer Million aktiven Installationen. Die Schwachstelle ermögliche die Ausweitung der Rechte am System ohne vorherige Authentifizierung, berichtet "Heise". Nicht angemeldete Angreifer könnten somit Wordpress-Instanzen vollständig kompromittieren. 

Über die Lücke sei es möglich, das Kennwort eines beliebigen Users zurückzusetzen, solange dessen Benutzername bekannt ist. Angreifer könnten also das Admin-Passwort zurücksetzen und sich in das entsprechende Konto einloggen. Die Schwachstelle sei aufgetreten, weil die Funktion zum Zurücksetzen des Passworts keinen zugehörigen Schlüssel validiere und stattdessen direkt das Kennwort des betreffenden Users ändere, schreibt "Heise" unter Berufung auf die Forschenden von Patchstack.

Wer das Plugin nutzt, sollte so schnell wie möglich die Version 5.7.2 herunterladen und installieren. Von der Sicherheitslücke betroffen sind die Plug-in-Versionen ab 5.4.0 bis einschliesslich 5.7.1.

Übrigens: Im April nutzten Bedrohungsakteure besonders häufig ein anderes Wordpress-Plugin aus, nämlich Eval PHP – ein veraltetes Plugin, um PHP-Code ein Webseiten und Beiträge einzubetten. Über das Plugin injizierten Angreifer Schadcode und platzierten Hintertüren auf Websites. Lesen Sie hier mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.