Plugin "Email Template Designer" reißt Sicherheitslücke in WordPress

Das Risiko einer Sicherheitslücke im Plugin "WordPress Email Template Designer – WP HTML Mail" schätzen Forscher der Sicherheitsfirma Wordfence als hoch ein (CVE-2022-0218, CVSS 8.3). Angreifer könnten die Schwachstelle ohne Anmeldung an WordPress missbrauchen, um Schadcode einzuschleusen. Das in mehr als 20.000 WordPress-Instanzen installierte Plugin dient dazu, etwa für Shopsysteme wie WooCommerce an die eigene Unternehmensoptik angepasste Transaktions-E-Mails zu erstellen.

Angreifer konnten auch ohne Anmeldung über das nicht ausreichend abgesicherte Plugin-API eigene E-Mail-Templates hinterlegen, die bösartigen JavaScript-Code enthielten. Wenn der Administrator auf diese dann mit dem E-Mail-Template-Editor oder den HTML-E-Mail-Editor zugreift, kommt dieser zur Ausführung. Zudem könnten die Angreifer E-Mail-Templates derart verändern, dass die WordPress-Seite Phishing-Mails verschickt.

Jetzt aktualisieren

Solche Cross-Site-Scripting-Schwachstellen ließen sich etwa dazu ausnutzen, um Code einzuschleusen, der neue (administrative) Benutzer anlegt, Opfer auf bösartige Webseiten umleitet, Hintertüren in das Theme oder Plugin-Dateien einbaut und noch vieles mehr, erklären die Forscher von WordFence in ihrer Sicherheitsmeldung. Dies bedeute, dass nicht angemeldete Angreifer nach erfolgreichem Ausnutzen der Lücke administrativen Zugriff auf WordPress-Seiten mit anfälligem Plugin erhalten könnten, führen die Sicherheitsforscher weiter aus.

In der Version 3.1 des Plugins "WordPress Email Template Designer – WP HTML Mail” haben die Entwickler die Sicherheitslücke geschlossen. WordPress-Administratoren sollten prüfen, ob sie das Plugin verwenden und gegebenenfalls zügig auf die fehlerbereinigte Fassung aktualisieren.

Lesen Sie auch

Themenseite zu WordPress auf heise online

(dmk)