Zero-Day-Leck im E-Commerce-Plug-in Fancy Product Designer

Zero-Day-Leck im E-Commerce-Plug-in Fancy Product Designer

(Quelle: SITM)
2. Juni 2021 - Wer in seinem Wordpress- oder Woocommerce-basierten Online-Shop das Plug-in Fancy Product Designer einsetzt, sollte dieses wegen einer Zero-Day-Schwachstelle sofort deinstallieren und erst wieder einspielen, wenn es eine gepatchte Version gibt.
Das Plug-in Fancy Product Designer kommt auf manchen Online-Shops auf den Plattformen Wordpress, Woocommerce und Shopify zum Einsatz. Wegen einer gravierenden Zero-Day-Schwachstelle legt der Wordpress-Security-Spezialist Wordfence den Anwendern von Fancy Product Designer nun dringlich nahe, das Plug-in komplett zu deinstallieren. Denn es gibt bisher keinen Patch, das Leck wird schon aktiv ausgenutzt, und das blosse Deaktivieren verbessert die Sicherheit laut dem Blogpost nicht.

Die Schwachstelle wird als kritisch eingestuft und ermöglicht es Angreifern, ohne Authentifizierung Files hochzuladen und beliebigen Code auszuführen. Der Upload von Bildern und Dokumenten zu einem Produkt im Online-Shop gehört zu den Kernfunktionen von Fancy Product Designer: Kunden sollen Produkte so individuell konfigurieren können. Dummerweise sind die Mechanismen zur Prüfung auf schädliche Inhalte jedoch ungenügend.

Das Problem tritt indes nur auf Wordpress- und Woocommerce-Sites auf. Online-Shops mit Shopify, die das Plug-in einsetzen, sind offenbar nicht betroffen. Der oben verlinkte Blogpost zeigt auf, wie man Sites erkennen kann, die schon kompromittiert sind. (ubi)

Neuen Kommentar erfassen

Anti-Spam-Frage Wie hiess im Märchen die Schwester von Hänsel?
Antwort
Name
E-Mail
SPONSOREN & PARTNER