Wordpress zwingt zum Plug-in-Update

Wordpress zwingt zum Plug-in-Update

(Quelle: Pixabay/simplu27)
25. Oktober 2020 - Für das Ausnutzen einer Schwachstelle im Wordpress-Plugin Loginizer ist im Netz bereits ein Proof-of-Concept verfügbar. Der Rollout eines Updates ist daher auch ohne Anwenderzustimmung angelaufen.
Einmal mehr ist in einem Plug-in des beliebten Content-Management-Systems Wordpress ein Sicherheitsleck aufgedeckt worden. Für einmal überliess man es aber nicht den über einer Million betroffenen Anwendern, das Update zu installieren, sondern hat laut einem Bericht von "Zdnet.de" ein Zwangs-Update ausgerollt.

Das Wordpress-Team entschloss sich offenbar zu dieser nicht oft benutzten Rollout-Methode, da die Sicherheitslücke mitsamt einem Proof-of-Concept bereits veröffentlicht worden ist. Konkret handelt es sich um eine Schwachstelle im Plug-in Loginizer, das erweiterte Funktionen wie Blacklists respektive Whitelists oder eine Zwei-Faktor-Authentifizierung beim Anmeldeprozess bereitstellt. Gemäss den Ausführungen von Slavco Mihajloski, der das Leck entdeckt hat, lässt sich über eine SQL Injection Code einschleusen und so unter dem Strich eine Wordpress-Website übernehmen.

Das Wordpress-Team hat sich aufgrund der Schwere der Sicherheitslücke dazu entschlossen, das Loginizer-Update auf die Version 1.6.4 ohne Zustimmung der Nutzer auszurollen. (rd)

Neuen Kommentar erfassen

Anti-Spam-Frage Was für Schuhe trug der gestiefelte Kater?
Antwort
Name
E-Mail
SPONSOREN & PARTNER