WordPress-Plugin: Zwangsupdate für den "Loginizer" wegen gefährlicher Lücke
Statt unbefugte Anmeldeversuche abzuwehren, spielte ein Bug in Loginizer vor Version 1.6.4 Angreifern in die Hände. Nutzer sollten ihre Version prüfen.
Über einen Bug im Loginizer-Code ließen sich WordPress-Installationen aufhebeln.
(Bild: M.Moira / Shutterstock.com)
Seit Version 5.5 des Content Management-Systems (CMS) WordPress ist es möglich, automatische Aktualisierungen nicht nur für das CMS selbst, sondern auch für Plugins zu aktivieren. Normalerweise ist dies eine optionale Konfiguration. Im Falle des beliebten Plugins Loginizer machte das WordPress-Team jedoch kürzlich eine Ausnahme: Aus Sicherheitsgründen schob sie Loginizer 1.6.4 als Zwangsupdate auf WP-Installationen, in denen das Plugin installiert ist. Admins potenziell betroffener Sites sollten vorsichtshalber dennoch checken, ob die Aktualisierung bei ihnen angekommen ist.
Eigentlich hat das Plugin Loginizer, das in mehr als einer Million WP-Installationen aktiv ist, die Aufgabe, diese vor unbefugten Anmeldeversuchen zu schützen. Es soll unter anderem vor Brute-Force-Angriffe abwehren, indem es Login-Versuche über bestimmte IP-Adressen überwacht und den Zugriff bei Erreichen einer maximalen Zugriffszahl blockiert. Im aktuellen Fall jedoch hebelte ein gefährlicher SQL-Injection Bug in Loginizer-Versionen vor 1.6.4 den kompletten Login-Schutz aus. Angreifer hätten sich ohne gültige Zugangsdaten anmelden und so die komplette Installation kompromittieren können.
Dem Bug wurde die CVE-Nummer CVE-2020-27615 zugewiesen.
Proof-of-Concept-Code verfügbar
Laut einer kurzen Erläuterung der Lücke in der WPScan WordPress Vulnerability Database loggt das Plugin Anmeldeversuche mit unbekannten Nutzernamen mit und speichert sie in einer Datenbank im Backend. Aufgrund fehlender Kontrollmechanismen wäre es Angreifern bis zur Loginizer-Aktualisierung auf 1.6.4 offenbar möglich gewesen, SQL-Befehle in erfundene Nutzernamen einzubauen, die dann zur Ausführung gekommen wären.
Laut WordPress Vulnerability Database sollte ein Proof-of-Concept eigentlich erst Anfang November veröffentlicht werden. Allerdings hat Slavco Mihajloski, der Entdecker der Lücke, den Code nun doch schon am Mittwoch veröffentlicht – wohl aufgrund des automatisch verteilten Updates.
Der Code, der das WordPress-Security-Team zu "Zwangsupdates" befähigt, soll laut ZDNet übrigens schon seit Version 3.7 Teil der WordPress-Codebase sein; allerdings sei bislang nur sehr selten davon Gebrauch gemacht worden.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(ovw)