Lecks bei Wordpress-Plug-ins gefährden über 300'000 Websites
Quelle: Wordpress

Lecks bei Wordpress-Plug-ins gefährden über 300'000 Websites

Schwachstellen in den den Wordpress-Plug-ins InfiniteWP Client und WP Time Capsule ermöglichen es Angreifern, sich als Administrator anzumelden. Für beide Erweiterungen wurde aktualisierte Versionen veröffentlicht.
17. Januar 2020

     

In den beiden Wordpress-Plug-ins InfiniteWP Client und WP Time Capsule wurden schwerwiegende Sicherheitsschwachstellen entdeckt, welche die betroffenen Webseiten gefährden. Wie "Zdnet.com" berichtet, haben Sicherheitsforscher von Webarx in den genannten Plug-ins gravierende Fehler entdeckt, die es einem Angreifer ermöglichen, sich an den betroffenen Seiten ohne Passwort anzumelden. Im Fall von InfiniteWP können Angreifer sich bei allen Versionen unter 1.9.4.5 über einen präparierten Post-Request anmelden, wobei einzig der Benutzername eines Admins bekannt sein muss. Versionen von WP Time Capsule unter 1.21.16 ermöglichen ebenfalls das Login als Administrator.

InfiniteWeb erlaubt die Verwaltung beliebig vieler Wordpress-Seiten inklusive Update- und Backup-Funktionen. Das Plug-in soll aktuell bei über 300'000 Webseiten im Einsatz sein. Mit rund 20'000 Installationen deutlich weniger genutzt wird indessen Web Time Capsule, das mitunter ebenfalls zu Backup-Zwecken dient.


Die Entwickler der Plug-ins wurden bereits am 7. Januar über die Schwachstellen informiert und haben umgehend aktualisierte Versionen veröffentlicht. Site-Betreibern wird empfohlen, die Erweiterungen baldmöglichst zu aktualisieren. (rd)


Weitere Artikel zum Thema

Wordpress 5.3.1 behebt mehrere Schwachstellen

16. Dezember 2019 - Wordpress hat ein Update auf Version 5.3.1 des CMS herausgegeben, das mehrere Sicherheitslücken schliesst. Die Schwachstellen ermöglichen unter anderem XSS-Angriffe.

Neues Zero-Day-Leck in Wordpress wird für Angriffe missbraucht

22. März 2019 - Eine Sicherheitsschwachstelle im Wordpress-Plug-in Easy WP SMTP wird aktuell für Angriffe genutzt. Es wird empfohlen, den mittlerweile zur Verfügung stehenden Patch baldmöglichst einzuspielen.

Zahl der Wordpress-Lecks nimmt drastisch zu

13. Januar 2019 - 2018 wurden im Web-CMS Wordpress 542 Schwachstellen entdeckt, fast drei Mal so viele wie im Jahr zuvor. Der Grossteil davon findet sich allerdings nicht im Wordpress-Code, sondern in den unzähligen Plug-ins.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER