Sicherheitsupdates: Admin-Lücke bedroht WordPress-Websites mit Jupiter Theme
Mit dem Theme-Builder Jupiter Theme oder Jupiter X Core Plugin erstellte WordPress-Websites sind verwundbar.
(Bild: Tatiana Popova/Shutterstock.com)
Wer seine Internetseite auf WordPress-Basis mit Jupiter Theme oder JupiterX Core Plugin gestaltet hat, sollte die aktuellen Versionen der Theme-Builder installieren. Andernfalls könnten Angreifer unter anderem an einer "kritischen" Sicherheitslücke ansetzen.
Vom Nutzer zum Admin
In einem Beitrag haben Sicherheitsforscher von Wordfence Informationen zu den fünf geschlossenen Schwachstellen veröffentlicht. Die kritische Lücke (CVE-2022-1654) betrifft die uninstallTemplate-Funktion. Diese setzt eine Seite nach dem Deinstallieren eines Templates zurück. Dabei vergibt die Funktion aber Admin-Rechte. Durch den Aufruf der Funktion könnten sich den Sicherheitsforscher zufolge jeder registrierte Nutzer zum Admin hochstufen.
Eine weitere Schwachstelle (CVE-2022-1657) ist mit "hoch" eingestuft. Hier könnte ein Angreifer etwa Zugriff auf Nonce-Werte erlangen. Für die drei verbleibenden Lücken (CVE-2022-1656, CVE-2022-1658, CVE-2022-1659) gilt der Bedrohungsgrad "mittel". Setzen Angreifer dort erfolgreich an, können sie unter anderem die Sicherheit von Websites zurückstufen.
Jetzt patchen!
Die Versionen Jupiter Theme 6.10.2, JupiterX Theme 2.0.7 und JupiterX Core Plugin 2.0.8 sollen gegen die geschilderten Attacken gerüstet sein.
(des)
