Kritischer Fehler im WordPress Theme öffnet 200.000 Seiten für Hacker - Admijalo Technology
Admijalo Blog - Kritischer Fehler in WordPress, 200.000 Seiten offen für Hacker Angriffe

Kritischer Fehler im WordPress Theme öffnet 200.000 Seiten für Hacker

Ein beliebtes WordPress-Theme-Plugin mit über 200.000 aktiven Installationen enthält eine schwerwiegende, aber leicht ausnutzbare Software-Schwachstelle, die, wenn sie nicht gepatcht wird, nicht authentifizierte Angreifer aus der Ferne eine Vielzahl von Webseiten und Blogs kompromittieren könnte.

Das fragliche anfällige Plugin ist der ‚ThemeGrill Demo Importer‘, der sowohl kostenlose als auch Premium-Themes enthält, die von der Software-Entwicklungsfirma ThemeGrill verkauft werden.
Das ThemeGrill-Demo-Importer-Plugin wurde so konzipiert, dass WordPress-Seiten-Administratoren Demo-Inhalte, Widgets und Einstellungen aus ThemeGrill importieren können, wodurch es für sie einfacher wird, das Theme schnell anzupassen.
Einem Bericht zufolge, den die Sicherheitsfirma WebARX veröffentlicht hat, führt das betroffene Plugin, wenn ein ThemeGrill-Theme installiert und aktiviert wird, einige Funktionen mit Administratorrechten aus, ohne zu prüfen, ob der Benutzer, der den Code ausführt, authentifiziert und ein Admin ist.
Die Schwachstelle könnte es nicht authentifizierten Angreifern aus der Ferne schließlich ermöglichen, die gesamte Datenbank der Ziel-Webseiten in ihren Standardzustand zu versetzen, wonach sie auch automatisch als Administrator angemeldet werden, so dass sie die vollständige Kontrolle über die Webseiten übernehmen können.
Laut den WebARX-Forschern betrifft die Schwachstelle das ThemeGrill-Demo-Importer-Plugin Version 1.3.4 bis 1.6.1, die alle in den letzten 3 Jahren veröffentlicht wurden.
„Dies ist eine ernsthafte Schwachstelle und kann einen erheblichen Schaden verursachen. Da sie keine verdächtig aussehende Nutzlast erfordert, ist nicht zu erwarten, dass eine Firewall diese standardmäßig blockiert, und es muss eine spezielle Regel erstellt werden, um diese Schwachstelle zu blockieren“, so die WebARX-Forscher.
Vor zwei Wochen berichteten die Entwickler von ThemeGrill über diese Schwachstelle, die dann am 16. Februar eine gepatchte Version 1.6.2 veröffentlichten.
WordPress Dashboard benachrichtigt Adminstratoren automatisch, wenn ein Plugin aktualisiert werden muss, aber Sie können sich auch dafür entscheiden, Plugin-Aktualisierungen automatisch installieren zu lassen, anstatt auf eine manuelle Aktion zu warten.

Jetzt kostenfreies Erstgespräch sichern!

Formular ausfüllen und unverbindliches Erstgespräch sichern.