Zwangsupdate: WordPress-Websites über Jetpack-Lücke manipulierbar

Die Entwickler des WordPress-Plug-ins Jetpack warnen vor einer „kritischen“ Sicherheitslücke. Nach erfolgreichen Attacken könnten Angreifer beliebige Dateien in WordPress-Installationen manipulieren. Dagegen abgesicherte Versionen werden derzeit automatisch auf betroffenen Websites installiert.

Jetpack ist ein weit verbreitetes Plug-in und weist der Übersichtswebsite zufolge 5 Millionen aktive Installationen auf. Mit dem Tool können Seitenbetreiber unter anderem Performance- und Security-Einstellungen vornehmen. Darüber kann man beispielsweise Backups realisieren oder Websites vor Brute-Force-Attacken schützen. Dabei attackieren Angreifer Websites mit Kennwort-Listen, um sich Zugang zu verschaffen. Außerdem überwacht das Plug-in Seiten und stellt Statistiken zur Verfügung.

Gefährliche Sicherheitslücke

In einem Beitrag führen die Entwickler aus, dass sie bislang keine Attacken beobachtet haben. Aufgrund der Gefährlichkeit der Schwachstelle raten sie aber zu einem zügigen Update. Eine CVE-Nummer wurde offensichtlich noch nicht vergeben. In dem Beitrag listen sie auch die 102 abgesicherten Versionen auf. Aktuell ist die Ausgabe 12.1.1. Alle vorigen Versionen sollen verwundbar sein.

Wie Attacken im Detail ablaufen könnten, ist derzeit nicht bekannt. Aufgrund des Schweregrades der Lücke haben sich die WordPress-Verantwortlichen dazu entschieden, die Sicherheitsupdates automatisch zu installieren. Der Installationsstatistik zufolge ist das in den vergangenen Tagen bereits auf über 4,3 Millionen Websites geschehen, die somit gegen Attacken gerüstet sind. Admins sollten sicherstellen, dass eine der abgesicherten Jetpack-Versionen auf ihrer WordPress-Website installiert ist.

(des)