Lecks bei Wordpress-Plug-ins gefährden über 300'000 Websites

von René Dubach

17. Januar 2020 - Schwachstellen in den den Wordpress-Plug-ins InfiniteWP Client und WP Time Capsule ermöglichen es Angreifern, sich als Administrator anzumelden. Für beide Erweiterungen wurde aktualisierte Versionen veröffentlicht.

In den beiden Wordpress-Plug-ins InfiniteWP Client und WP Time Capsule wurden schwerwiegende Sicherheitsschwachstellen entdeckt, welche die betroffenen Webseiten gefährden. Wie "Zdnet.com" berichtet, haben Sicherheitsforscher von Webarx in den genannten Plug-ins gravierende Fehler entdeckt, die es einem Angreifer ermöglichen, sich an den betroffenen Seiten ohne Passwort anzumelden. Im Fall von InfiniteWP können Angreifer sich bei allen Versionen unter 1.9.4.5 über einen präparierten Post-Request anmelden, wobei einzig der Benutzername eines Admins bekannt sein muss. Versionen von WP Time Capsule unter 1.21.16 ermöglichen ebenfalls das Login als Administrator.

InfiniteWeb erlaubt die Verwaltung beliebig vieler Wordpress-Seiten inklusive Update- und Backup-Funktionen. Das Plug-in soll aktuell bei über 300'000 Webseiten im Einsatz sein. Mit rund 20'000 Installationen deutlich weniger genutzt wird indessen Web Time Capsule, das mitunter ebenfalls zu Backup-Zwecken dient.

Die Entwickler der Plug-ins wurden bereits am 7. Januar über die Schwachstellen informiert und haben umgehend aktualisierte Versionen veröffentlicht. Site-Betreibern wird empfohlen, die Erweiterungen baldmöglichst zu aktualisieren.

Copyright by Swiss IT Media GmbH / 2024