Kritischer Bug im Wordpress-Plugin erlaubt externen Zugriff
In einem Wordpress-Plugin klafft eine grosse Sicherheitslücke. Diese erlaubt es Angreifern von aussen Code auszuführen. Um die Website zu übernehmen, müssen sie nur eine PHP-Code-Injection ausführen.
Ein Wordpress-Plugin mit mehr als 90'000 Installationen klafft eine schwerwiegende Sicherheitslücke. Diese erlaubt es Angreifern von aussen Code auszuführen, mit denen verwundbare Websites kompromittiert werden können, wie "Bleepingcomputer" schreibt.
Beim Plugin handelt es sich um "Backup Migration". Diese unterstütze Admins bei der Automatisierung von Website-Backups auf einen lokalen Speicher oder ein Google-Drive-Konto. Ein Team von "Bug Hunters", bekannt als Nex Team, entdeckte den Sicherheitsfehler (CVE-2023-6553) im Rahmen eines kürzlich gestarteten Bug-Bounty-Programms, wie es heisst. Diese meldeten die Lücke an das Wordpress-Sicherheitsunternehmen Wordfence.
Es soll alle Plug-in-Versionen bis und mit "Backup Migration 1.3.6" betreffen. CVE-2023-6553 ermögliche es nicht authentifizierten Angreifern, gezielt Websites zu übernehmen. Dafür müssten sie nur eine PHP-Code-Injection ausführen, um die Remote-Code-Ausführung zu erlangen. Wie das Sicherheitsunternehmen mitteilt, liegt dies daran, dass ein Angreifer in der Lage ist, die an ein "Include" zu übergebenden Werte zu kontrollieren und diese anschliessend zur Remote-Code-Ausführung zu nutzen. Dies ermögliche es Angreifern, Code auf dem Server auszuführen. Indem die Angreifer eine speziell gestaltete Anfrage übermitteln würden, könnten Bedrohungsakteure dieses Problem ausnutzen, um beliebigen, bösartigen PHP-Code einzuschliessen und beliebige Befehle auf dem Server im Sicherheitskontext von Wordpress-Usern auszuführen.
Patch wurde Stunden danach veröffentlicht
Wordfence meldete die kritische Sicherheitslücke am 6. Dezember an Backupbliss, das Entwicklerteam hinter dem Backup Migration Plugin, wie es weiter heisst. Die Entwickler sollen nur Stunden später ein Patch veröffentlicht haben.
Trotz der Veröffentlichung dürften wohl fast 50'000 Wordpress-Websites, die eine verwundbare Version verwenden, eine Woche später immer noch nicht gesichert sein, wie die Download-Statistiken von WordPress.org nach "Bleeping Computer" zeigen. Zu guter Letzt empfiehlt die Website Administratoren dringend, ihre Websites gegen potenzielle CVE-2023-6553-Angriffe zu sichern.
Bedrohungsakteure nutzen das veraltete Wordpress-Plugin Eval PHP aus. Damit injizieren sie Schadcode und platzieren Hintertüren auf Websites. Mehr dazu können Sie hier lesen.