Sie sind sich des Sicherheitsrisikos Ihrer WordPress-Seite bewusst? \u00dcber eine Million Installationen des beliebten WordPress-Plugins Essential Addons for Elementor k\u00f6nnten durch eine gravierende Sicherheitsl\u00fccke gef\u00e4hrdet sein. Angreifer:innen erhalten durch diese L\u00fccke die M\u00f6glichkeit, die Kontrolle \u00fcber Ihre WordPress-Instanz zu \u00fcbernehmen.<\/p>\n
In diesem Artikel m\u00f6chten wir Ihnen einen \u00dcberblick \u00fcber die entdeckte Sicherheitsl\u00fccke geben und erl\u00e4utern, wie Sie sich dagegen sch\u00fctzen k\u00f6nnen. Lesen Sie weiter und erfahren Sie alles Wichtige zu diesem bedrohlichen Thema.<\/p>\n
Essential Addons for Elementor z\u00e4hlt mehr als eine Million Installationen und geh\u00f6rt damit zu den weitverbreiteten WordPress-Plugins. IT-Expert:innen haben nun eine erhebliche Sicherheitsl\u00fccke aufgedeckt, die es nicht-registrierten Angreifer:innen erlaubt, eine WordPress-Instanz vollst\u00e4ndig zu kompromittieren. Inzwischen steht eine korrigierte Version des Plugins bereit.<\/p>\n
Auf der Webseite des Plugins wurde die Version 5.7.2 ver\u00f6ffentlicht. Nutzer:innen des Essential Addons for Elementor sollten diese umgehend installieren. Die identifizierte Sicherheitsl\u00fccke erm\u00f6glicht eine Erweiterung der Systemrechte ohne vorherige Authentifizierung (CVE-2023-32243, CVSS 9.8, Risiko „kritisch“). Diese Schwachstelle betrifft alle Plugin-Versionen ab 5.4.0 bis einschlie\u00dflich 5.7.1.<\/p>\n
In der detaillierten Analyse<\/a> stellen die IT-Expert:innen von Patchstack fest, dass das Plugin eine Sicherheitsl\u00fccke aufweist. Sie erm\u00f6glicht es jedem nicht-authentifizierten Nutzer:in, die eigenen Rechte auf die eines beliebigen Nutzers der WordPress-Website auszuweiten.<\/p>\n Es ist somit m\u00f6glich, das Passwort eines jeden Nutzers zur\u00fcckzusetzen, sofern dessen Benutzername bekannt ist. Angreifer:innen haben so die M\u00f6glichkeit, das Passwort des Administrators zur\u00fcckzusetzen und sich in dessen Konto einzuloggen. Die L\u00fccke entsteht, da die Funktion zum Zur\u00fccksetzen des Passworts keinen zugeh\u00f6rigen Schl\u00fcssel validiert, sondern direkt das Passwort des betroffenen Nutzers \u00e4ndert, wie die Mitarbeiter:innen von Patchstack weiter erkl\u00e4ren.<\/p>\n Die IT-Expert:innen gehen in ihrer Analyse ins Detail und diskutieren die Sicherheitsl\u00fccke inklusive Codeausschnitten. Die Entwickler:innen des Plugins haben innerhalb von nur drei Tagen auf die Meldung der L\u00fccke reagiert und diese behoben: Am Montag wurde die Sicherheitsl\u00fccke gemeldet, bereits am Donnerstag stand das aktualisierte Plugin zur Verf\u00fcgung. IT-Verantwortliche mit einer anf\u00e4lligen WordPress-Installation sollten dieses Update unverz\u00fcglich installieren.<\/p>\nUmgang mit der entdeckten Sicherheitsl\u00fccke<\/h2>\n
Bereits fr\u00fchere Sicherheitsprobleme bei WordPress-Plugins<\/h2>\n