In einem beliebten WordPress-Plugin wurde kürzlich eine gefährliche neue Sicherheitslücke entdeckt. Die Cybersicherheitsforscher von Wordfence haben einen Fehler im Elementor-Plugin entdeckt, der es jedem authentifizierten Benutzer ermöglicht, beliebigen PHP-Code hochzuladen.
Elementor ist eines der beliebtesten Plugins für WordPress und auf über fünf Millionen Websites installiert.
Das Plugin wurde kürzlich auf Version 3.6.0 aktualisiert, die unter anderem ein neues Integrationsmodul einführte, dessen Ziel es war, die Erstkonfiguration des Plugins zu vereinfachen. Allerdings stellten die Forscher fest, dass das Modul eine „ungewöhnliche“ Methode zur Registrierung von AJAX-Aktionen verwendete, ohne eine Fähigkeitsprüfung.
Ausführung von Schadcode
„Es gibt mehrere Möglichkeiten für einen authentifizierten Benutzer, Ajax::NONCE_KEY zu erhalten, aber eine der einfachsten Möglichkeiten besteht darin, die Admin-Panel-Quelle als angemeldeter Benutzer anzuzeigen, da sie für alle authentifizierten Benutzer vorhanden ist, auch für Benutzer auf Abonnementebene.“ erklären die Forscher.
Daher kann jeder angemeldete Benutzer alle Integrationsfunktionen nutzen. Allerdings könnte ein Angreifer beispielsweise ein bösartiges „Elementor Pro“-Zip-Plugin erstellen und die Integrationsfunktionen nutzen, um es zu installieren. Die Site würde dann jeden im Plugin vorhandenen Code ausführen, einschließlich Code, der zur Unterstützung der Site entwickelt wurde, oder auf zusätzliche Ressourcen auf dem Server zugreifen.
Die Funktionen könnten auch dazu genutzt werden, die Seite komplett zu verunstalten, fügte er hinzu.
Die gute Nachricht ist, dass der Fehler in keiner Version von Elementor vor 3.6.0 auftritt und die Fehlerbehebung bereits verfügbar ist.
Am 12. April veröffentlichte das Team Version 3.6.3. Plugin-Version fordert Wordfence alle Elementor-Benutzer dringend auf, ihre Plugins so schnell wie möglich zu aktualisieren.
Als eines der beliebtesten Plugins für WordPress wird Elementor häufig von Bug-Jägern und Bedrohungsakteuren ins Visier genommen.
Anfang Februar entdeckte der Cybersicherheitsforscher Wai Yan Muo Thet eine Schwachstelle im Plugin „Essential Add-ons für Elementor“: einen kritischen RCE-Fehler (Remote Code Execution), der es potenziellen böswilligen Akteuren ermöglichte, einen eingebetteten Angriff auf lokale Dateien durchzuführen.