100.000 Wordpress-Seiten in Gefahr: Angriffe auf SureTriggers-Plug-in laufen

In dem Wordpress-Plug-in SureTriggers wurde vor dem Wochenende eine Sicherheitslücke bekannt. Das Plug-in ist auf mehr als 100.000 Wordpress-Instanzen installiert. Angreifer missbrauchen die Schwachstelle jetzt bereits aktiv.

Die IT-Forscher von Patchstack haben bereits kurz nach Bekanntwerden der Schwachstelle in dem Wordpress-Plug-in am vergangenen Freitag Angriffe darauf entdeckt. Am Freitag hatte das IT-Sicherheitsunternehmen Wordfence Details zur Sicherheitslücke in SureTriggers veröffentlicht. Demnach können Angreifer aus dem Netz ohne vorherige Authentifizierung administrative Nutzerkonten erstellen. Sofern kein API-Key in dem SureTriggers-Plug-in eingerichtet ist, können Angreifer dadurch Administrator-Nutzer hinzufügen und damit Wordpress-Instanzen vollständig kompromittieren (CVE-2025-3102, CVSS 8.1. Risiko "hoch").

Sicherheitslücke in freier Wildbahn missbraucht

Nur wenige Stunden nach der Veröffentlichung hat Patchstack Angriffe beobachtet. Die Schwachstelle stellt also ein signifikantes Risiko für Wordpress-User dar, die das Problem nicht mit einem Update oder anderen Gegenmaßnahmen gelöst haben.

Bei den Angriffen haben die IT-Forscher bislang vier Ursprungsadressen ausgemacht. Diese haben die URLs und REST-API-Endpunkte "/?rest_route=/wp-json/sure-triggers/v1/automation/action" sowie "/wp-json/sure-triggers/v1/automation/action" attackiert. Damit haben sie neue administrative Konten angelegt. Die Kontennamen sind zufällig zusammengewürfelt. Sie scheinen bei jedem Angriff individuell neu gewählt zu werden.

Zum Schließen des Sicherheitslecks haben die Entwickler des SureTrigger-Plug-ins Version 1.0.79 veröffentlicht. Wer das Plug-in eingesetzt hat, sollte sicherstellen, dass die aktuelle Fassung bereits aktiv ist. Gegebenenfalls sollten Plug-in-Nutzerinnen und -Nutzer ebenfalls überprüfen, ob neue oder unbekannte Konten in ihrer Wordpress-Instanz existieren.

(dmk)