heise PlusAbo
Anzeige
Alert!

WordPress-Plug-ins mit teils schon angegriffenen kritischen Lücken

In verbreiteten Plug-ins für WordPress stecken Sicherheitslücken mit kritischer Risikobewertung. Eine wird bereits angegriffen.

vorlesen Druckansicht 2 Kommentare lesen
WordPress-Logo mit Achtung-Schild vor Matrix-Regen-Hintergrund

(Bild: heise medien)

Lesezeit: 3 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Kritische Sicherheitslücken in zwei populären WordPress-Plug-ins gefährden Instanzen des CMS im Netz. Angreifer missbrauchen eine der Schwachstellen bereits in freier Wildbahn. Wer WordPress einsetzt, sollte schauen, ob die verwundbaren Plug-ins installiert sind, und diese zügig aktualisieren.

Das Plug-in Modular DS kommt auf mehr als 40.000 aktive Installationen, erklären die IT-Sicherheitsforscher von Patchstack in ihrer Sicherheitsmitteilung. Es dient der Verwaltung mehrerer WordPress-Webseiten und bietet dazu Monitoring, Updaten und das Erledigen weiterer Aufgaben aus der Ferne. In der Version 2.5.1 und älteren von Modular DS ermöglicht eine Schwachstelle die Ausweitung der Rechte. Mehrere Probleme lassen sich verketten, etwa die Umgehung der Authentifizierung, automatisches Log-in als Admin und eine direkte Route-Auswahl (CVE-2026-23800, CVSS 10, Risiko „kritisch“).

Details erörtert Patchstack in der Mitteilung. Seit Freitag vergangener Woche beobachten die IT-Forscher zudem aktive Angriffe auf die Lücken. Einige Indizien für Kompromittierungen (Indicators of Compromise, IOCs) nennt die Analyse auch. Dazu gehören HTTP-Get-Aufrufe an den API-Endpunkt „/api/modular-connector/login/“ mit origin-Parameter „mo“ und type „foo“. Die Angreifer versuchen, einen „PoC Admin“-Zugang mit WordPress-Administratorrolle anzulegen, wobei der User-Name „admin“ enthält und eine ungültige E-Mail-Adresse verwendet wird. Drei IP-Adressen hat Patchstack außerdem mit den Angriffen in Verbindung bringen können. Weitere Attacken erfolgen auf „/?rest_route=/wp/v2/users&origin=mo&type=x“, oftmals mit User-Agent als „firefox“ und „username“ mit Bestandteil „backup“. Die Version 2.6.0 oder neuer stopft das Sicherheitsleck.

Weiter verbreitetes WordPress-Plug-in

Das WordPress-Plug-in „Advanced Custom Fields: Extended“ bringt es sogar auf mehr als 100.000 aktive Installationen. Das erklärt Wordfence in einer Sicherheitsmitteilung. Bis zur Version 0.9.2.1 des Plug-ins können nicht authentifizierte Angreifer bei der Registrierung als Rolle „Administrator“ angeben und damit vollen Zugriff auf die Instanz erhalten, da die „insert_user“-Funktion keine Einschränkungen vornimmt. Als Einschränkung nennen die IT-Sicherheitsforscher, dass sich das nur missbrauchen lässt, wenn „role“ dem benutzerdefinierten Feld zugeordnet wird (CVE-2025-14533, CVSS 9.8, Risiko „kritisch“). Ab Version 0.9.2.2 des Plug-ins ist das Problem gelöst.

Videos by heise

Im November warnten IT-Sicherheitsforscher vor einer Schwachstelle im WordPress-Plug-in AI Engine. Auch das kommt auf mehr als 100.000 WordPress-Instanzen zum Einsatz. Angreifer konnten das Sicherheitsleck missbrauchen, um ihre Rechte zum Admin auszuweiten und damit die Instanz zu übernehmen.

(dmk)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten