Sie sind sich des Sicherheitsrisikos Ihrer WordPress-Seite bewusst? Über eine Million Installationen des beliebten WordPress-Plugins Essential Addons for Elementor könnten durch eine gravierende Sicherheitslücke gefährdet sein. Angreifer:innen erhalten durch diese Lücke die Möglichkeit, die Kontrolle über Ihre WordPress-Instanz zu übernehmen.
In diesem Artikel möchten wir Ihnen einen Überblick über die entdeckte Sicherheitslücke geben und erläutern, wie Sie sich dagegen schützen können. Lesen Sie weiter und erfahren Sie alles Wichtige zu diesem bedrohlichen Thema.
Inhaltsverzeichnis
Details zur kritischen Sicherheitslücke
Essential Addons for Elementor zählt mehr als eine Million Installationen und gehört damit zu den weitverbreiteten WordPress-Plugins. IT-Expert:innen haben nun eine erhebliche Sicherheitslücke aufgedeckt, die es nicht-registrierten Angreifer:innen erlaubt, eine WordPress-Instanz vollständig zu kompromittieren. Inzwischen steht eine korrigierte Version des Plugins bereit.
Auf der Webseite des Plugins wurde die Version 5.7.2 veröffentlicht. Nutzer:innen des Essential Addons for Elementor sollten diese umgehend installieren. Die identifizierte Sicherheitslücke ermöglicht eine Erweiterung der Systemrechte ohne vorherige Authentifizierung (CVE-2023-32243, CVSS 9.8, Risiko „kritisch“). Diese Schwachstelle betrifft alle Plugin-Versionen ab 5.4.0 bis einschließlich 5.7.1.
Gefahr durch Essential Addons for Elementor
In der detaillierten Analyse stellen die IT-Expert:innen von Patchstack fest, dass das Plugin eine Sicherheitslücke aufweist. Sie ermöglicht es jedem nicht-authentifizierten Nutzer:in, die eigenen Rechte auf die eines beliebigen Nutzers der WordPress-Website auszuweiten.
Es ist somit möglich, das Passwort eines jeden Nutzers zurückzusetzen, sofern dessen Benutzername bekannt ist. Angreifer:innen haben so die Möglichkeit, das Passwort des Administrators zurückzusetzen und sich in dessen Konto einzuloggen. Die Lücke entsteht, da die Funktion zum Zurücksetzen des Passworts keinen zugehörigen Schlüssel validiert, sondern direkt das Passwort des betroffenen Nutzers ändert, wie die Mitarbeiter:innen von Patchstack weiter erklären.
Umgang mit der entdeckten Sicherheitslücke
Die IT-Expert:innen gehen in ihrer Analyse ins Detail und diskutieren die Sicherheitslücke inklusive Codeausschnitten. Die Entwickler:innen des Plugins haben innerhalb von nur drei Tagen auf die Meldung der Lücke reagiert und diese behoben: Am Montag wurde die Sicherheitslücke gemeldet, bereits am Donnerstag stand das aktualisierte Plugin zur Verfügung. IT-Verantwortliche mit einer anfälligen WordPress-Installation sollten dieses Update unverzüglich installieren.
Bereits frühere Sicherheitsprobleme bei WordPress-Plugins
Bereits im April wurde eine als hochriskant eingestufte Sicherheitslücke im WordPress-Plugin Elementor Pro aktiv von Angreifer:innen ausgenutzt. Diese konnten sich dadurch administrativen Zugang zu WordPress-Webseiten verschaffen. Es ist also von entscheidender Bedeutung, stets auf dem neuesten Stand der Sicherheitsupdates zu bleiben, um sich vor solchen Bedrohungen zu schützen.
Fazit und Handlungsempfehlungen
Die Entdeckung dieser erheblichen Sicherheitslücke in Essential Addons for Elementor unterstreicht die Wichtigkeit von regelmäßigen Updates und einer ständigen Überprüfung der installierten Plugins. Wenn Sie das betroffene Plugin nutzen, installieren Sie unverzüglich das Update auf Version 5.7.2, um Ihre WordPress-Instanz zu schützen. IT-Verantwortliche sind dringend dazu aufgerufen, die Sicherheit ihrer WordPress-Installationen kontinuierlich zu überwachen und auf dem neuesten Stand zu halten.
Falls Sie diese Arbeiten lieber von einem professionellen Team erledigen und überwachen lassen möchten, steht Ihnen unser WordPress Wartungsservice zur Verfügung.