Es wurde festgestellt, dass ein beliebtes WordPress-Plugin, das von mehr als einer Million Websites weltweit verwendet wird, einen kritischen RCE-Fehler (Remote Code Execution) enthält, der es potenziellen böswilligen Akteuren ermöglicht, einen Malware-Angriff auf lokale Dateien zu starten.
Der Cybersicherheitswissenschaftler Wai Yan Muo Thet entdeckte die Schwachstelle im Essential Addons for Elementor-Plugin am XNUMX. Januar XNUMX und benachrichtigte Patchstack noch am selben Tag.
WPDeveloper, der Eigentümer des betreffenden Plugins, war sich der Schwachstelle bereits bewusst und hat bereits zwei fehlgeschlagene Versuche unternommen, das Problem zu beheben.
Das Problem lösen
„Die lokale Datei-Include-Schwachstelle besteht aufgrund der Art und Weise, wie Benutzereingaben in der PHP-Include-Funktion verwendet werden, die Teil der Funktionen ajax_load_more und ajax_eael_product_gallery ist“, erklärte PatchStack.
Das Einzige, was die fragile Website brauche, sei die Aktivierung der Widgets „Aktive Galerie“ und „Produktgalerie“, fügte er hinzu.
In den Versionen XNUMX und XNUMX wurde versucht, das Problem zu beheben, das schließlich in Version XNUMX behoben wurde. Bisher haben etwa XNUMX Websites das Plugin aktualisiert, was bedeutet, dass etwa XNUMX Websites immer noch fragil sind.
Diejenigen, die wichtige Elementor-Plugins ausführen, haben zwei Möglichkeiten, das Problem zu lösen: Laden Sie die neueste Version über diesen Link herunter oder gehen Sie zum WordPress-Dashboard und aktivieren Sie das Update direkt von dort aus.
WordPress-Plugins haben sich in den letzten Monaten als beliebte Ziele für Hacker erwiesen, die wichtige Schwachstellen angreifen. Im November XNUMX entdeckten Forscher einen Fehler bei der Site-Erfassung im Plugin „Preview Emails for WooCommerce“, während im letzten Monat des Jahres XNUMX eine Schwachstelle im beliebten WPS Hide-Plugin „Login“ Angreifern den Zugriff auf die Anmeldeseite des Site-Administrators ermöglicht haben könnte.
Die gute Nachricht ist, dass Plugin-Besitzer dazu neigen, schnell zu reagieren, wenn Schwachstellen aufgedeckt werden. Webmastern, die WordPress-Sites betreiben, wird empfohlen, ihre Plugins stets auf dem neuesten Stand zu halten, um das Risiko eines Angriffs zu minimieren.
Via: BleepingComputer