- Der Vergleich
- Tutorials
- Aktualisieren Sie dieses beliebte WordPress-Plugin sofort, warnen Tausende von Benutzern
Behebung mehrerer schwerwiegender Schwachstellen im beliebten WordPress-Plugin NextGEN Gallery, das über eine aktive Installationsbasis von über 800.000 Benutzern verfügt. Wie das Sicherheitsteam von Wordfence Threat Intelligence herausfand, litt eine frühere Version des Bildergalerie-Plugins unter zwei Cross-Site Request Forgery (CSRF)-Schwachstellen, die der Website-Übernahme Tür und Tor öffneten. Die erste Schwachstelle stuften die Forscher als schwerwiegend ein, die zweite als kritisch, da sie für Cross-Site-Scripting- (XSS) und Remote-Code-Execution-Angriffe (RCE) missbraucht werden könnte.
Ausnutzung von WordPress-Plugins
Um das anfällige Plugin auszunutzen, müsste ein Angreifer den WordPress-Administrator dazu verleiten, einen schädlichen Link in seinem Webbrowser zu starten, möglicherweise über einen Phishing-Angriff. Im Erfolgsfall könnte der Angreifer bösartige Weiterleitungen und Phishing-Mechanismen einführen und letztendlich mit der kompromittierten Website machen, was er will. „Dieser Angriff würde wahrscheinlich ein gewisses Maß an Social Engineering erfordern … Außerdem wären für die Durchführung dieser Aktionen zwei separate Abfragen erforderlich, obwohl dies einfach zu implementieren ist“, erklärte Wordfence in einem Blogbeitrag. Die Entwickler von NextGEN Gallery haben im Dezember einen Fix für beide Fehler veröffentlicht, allerdings haben bisher nur rund 300,000 Nutzer das nötige Update installiert, sodass mehr als 500,000 Websites ungeschützt sind. Allen Nutzern des NextGEN Gallery-Plugins wird empfohlen, sofort auf die neueste Version zu aktualisieren, um sich vor Angriffen zu schützen. Durch einen Computer in der Warteschleife