Eine kürzlich entdeckte Sicherheitslücke mit hohem Schweregrad in einem WordPress-Plugin gefährdet über 60 Websites durch Website-Übernahme, Datenexfiltration oder Remotecodeausführung.
Das ist laut Wordfence Threat Intelligence, einem Forschungsteam, das nach Fehlern in einer der beliebtesten CMS-Plattformen der Welt, WordPress, sucht.
Im Wordfence-Bericht heißt es, dass das Team Mitte April eine Objektinjektions-Schwachstelle im Buchungskalender-Plugin entdeckte, das zum Zeitpunkt der Veröffentlichung über 60 Installationen aufwies.
Beliebigen Code ausführen
Das Plugin gibt Webmastern die Möglichkeit, der Website ein Buchungssystem hinzuzufügen, einschließlich der Möglichkeit, einen flexiblen Kalender zu veröffentlichen, der bestehende Buchungen und freie Stellen anzeigt.
Die flexible Zeitleiste ermöglicht es Webmastern auch, beim Anzeigen der veröffentlichten Zeitleiste Präferenzen und Anzeigeoptionen festzulegen. Einige dieser Optionen seien in den serialisierten Daten von PHP übergeben worden, erklärte Wordfence, und ein Angreifer könne diese Daten mit verschiedenen Methoden kontrollieren.
„Jedes Mal, wenn ein Angreifer nicht-serialisierte Daten durch PHP kontrollieren kann, kann er einem PHP-Objekt Eigenschaften seiner Wahl hinzufügen“, heißt es in der Ankündigung. „Wenn auch ein ‚POP-String‘ vorhanden ist, kann er es einem Angreifer ermöglichen, beliebigen Code auszuführen, Dateien zu löschen oder eine anfällige Website zu zerstören oder die Kontrolle über sie zu übernehmen.“
Der Lichtblick der Entdeckung ist, dass Wordfence keine POP-Strings im Buchungs-Plugin gefunden hat, was bedeutet, dass Angreifer „ein bisschen Glück“ und zusätzliche Nachforschungen benötigen würden, um den Fehler auszunutzen. Da POP-Strings jedoch häufig in Softwarebibliotheken vorkommen, ist die Bedrohung real.
Wordfence informierte die Entwickler Mitte April über seine Ergebnisse und der Fix wurde innerhalb von drei Tagen implementiert. Benutzern wird empfohlen, den Patch auf Version 9.1.1 anzuwenden. des Plugins so schnell wie möglich.
WordPress und seine Plugins gehören zu den beliebtesten Website-Hosting-Plattformen der Welt und geraten häufig ins Visier von Bedrohungsakteuren, die auf null Tage warten, um Malware zu verbreiten. Während WordPress selbst allgemein als sicher gilt, sind seine Tausenden Plugins von Drittanbietern anfällig für einige Schwachstellen.