Kritische Sicherheitslücke in Wordpress-Plugin
Im weit verbreiteten Wordpress-Plugin Essential Addons for Elementor klafft eine Sicherheitslücke. Angreifer könnten sie ausnutzen und so die Kontrolle über Websites übernehmen.
![(Source:
Souvik Banerjee / Unsplash.com)](https://data.netzwoche.ch/styles/np8_full/s3/media/2023/05/16/souvik-banerjee-wprnem_6dg-unsplash.jpg?itok=ddcfD_t3)
IT-Sicherheitsforschende von Patchstack haben eine kritische Sicherheitslücke in einem weit verbreiteten Wordpress-Plugin entdeckt. Es handelt sich um Essential Addons for Elementor – ein Plugin mit über einer Million aktiven Installationen. Die Schwachstelle ermögliche die Ausweitung der Rechte am System ohne vorherige Authentifizierung, berichtet "Heise". Nicht angemeldete Angreifer könnten somit Wordpress-Instanzen vollständig kompromittieren.
Über die Lücke sei es möglich, das Kennwort eines beliebigen Users zurückzusetzen, solange dessen Benutzername bekannt ist. Angreifer könnten also das Admin-Passwort zurücksetzen und sich in das entsprechende Konto einloggen. Die Schwachstelle sei aufgetreten, weil die Funktion zum Zurücksetzen des Passworts keinen zugehörigen Schlüssel validiere und stattdessen direkt das Kennwort des betreffenden Users ändere, schreibt "Heise" unter Berufung auf die Forschenden von Patchstack.
Wer das Plugin nutzt, sollte so schnell wie möglich die Version 5.7.2 herunterladen und installieren. Von der Sicherheitslücke betroffen sind die Plug-in-Versionen ab 5.4.0 bis einschliesslich 5.7.1.
Übrigens: Im April nutzten Bedrohungsakteure besonders häufig ein anderes Wordpress-Plugin aus, nämlich Eval PHP – ein veraltetes Plugin, um PHP-Code ein Webseiten und Beiträge einzubetten. Über das Plugin injizierten Angreifer Schadcode und platzierten Hintertüren auf Websites. Lesen Sie hier mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
![(Source: OrsiO / Pixabay.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/webcat-636172_1280.jpg?itok=4c5VDYw5)
Wenn orangene Katzen Unsinn veranstalten
![(Source: Micha Brändli / unsplash.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/micha-brandli-xteagvru_1u-unsplash.jpg?itok=YakH3APY)
Mandiant stuft nordkoreanische Cyberbande als APT45 ein
![Jean-Pierre Mustier übernimmt als neuer CEO bei Atos. (Source: Atos.net)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/mustier_atos.jpg?itok=c11BX9xf)
Atos ernennt nächsten CEO
![(Source: Pawina / stock.adobe.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/proton_wallet_2024.jpeg?itok=cfViQUYL)
Proton startet mit Kryptowallet
![Rolf Unterberger, Mitglied des Verwaltungsrats, gratuliert Chief Sales Officer Gianni Mastromarino mit einem Pokal (v.l.). (Source: zVg)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/25/pokaluebergabe_cmyk.jpg?itok=8-ERumlE)
Assmann IT-Solutions feiert 15-Jahre-Jubiläum
![(Source: DC Studio/Freepik.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/ransomware.jpg?itok=Ke4dCDqV)
Angreifer nehmen kritische Infrastrukturen ins Visier
![(Source: NOAA / Unsplash)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/google_wetter-ki_2024.jpg?itok=3ZIDlofC)
Google vereint KI und Physik für Wettervorhersagen
![(Source: freshidea - stock.adobe.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/02/adobestock_416609395.jpeg?itok=lzCTG-o-)
Erfolgreiche Co-Creation im Digital Banking dank Design Thinking
![(Source: Kasia Derenda / unsplash.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/kasia-derenda-fl3rf_t8dms-unsplash.jpg?itok=72tLCDjs)
Phisher phishen am liebsten mit Microsoft
![G.V. Shivashankar entwickelt derzeit am PSI verschiedene Verfahren zur Diagnose und Prognose von Krebs. (Source: Paul Scherrer Institut PSI/Markus Fischer)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/web20231116_shivashankar_0048.jpg?itok=zfzwJ7s8)