WordPress-Plug-in TheGem: Sicherheitsleck gefährdet 82.000 Webseiten

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Im WordPress-Plug-in TheGem, das mehr als 82.000-mal verkauft wurde und daher auf ähnlich vielen WordPress-Instanzen aktiv ist, haben IT-Forscher zwei Schwachstellen entdeckt. Eine kann Angreifern ermöglichen, Schadcode einzuschleusen und auszuführen. Eine aktualisierte Fassung steht bereit, die die Sicherheitslücken schließt.

TheGem ist ein Multifunktions-Plug-in, es stellt neben Themes auch direkt nutzbare Funktionen für selbst erstellte Webseiten bereit. Es ist kompatibel zu den populären WordPress-Website-Baukästen Elementor, WPBakery und WooCommerce.

Hochriskantes Sicherheitsleck in TheGem

Die IT-Sicherheitsforscher von Wordfence haben über ihr Bug-Bounty-Programm zwei Sicherheitslücken gemeldet bekommen. Aufgrund einer fehlenden Dateityp-Prüfung in der Funktion thegem_get_logo_url() können Angreifer beliebige Dateien hochladen, wodurch die Ausführung von eingeschleustem Schadcode und schließlich die vollständige Kompromittierung der Instanz möglich wird. Die Angreifer benötigen dafür mindestens Zugriffsrechte auf "Subscriber"-Level (CVE-2025-4317, CVSS 8.8, Risiko "hoch").

Die zweite Schwachstelle ermöglicht die Veränderung von Daten, da die ajaxApi()-Funktion unzureichende Prüfungen vornimmt. Dadurch können Angreifer mit "Subscriber"-Level-Zugang oder höheren Rechten beliebige Optionen des Themes aktualisieren (CVE-2025-4339, CVSS 4.3, Risiko "mittel").

Betroffen sind die TheGem-Versionen bis einschließlich 5.10.3, die Schwachstellen bessert hingegen das Update auf Version 5.10.3.1 aus. WordPress-Admins sollten die Aktualisierung zügig anwenden.

Mitte April haben Angreifer bereits eine kurz zuvor bekannt gewordene Sicherheitslücke im SureTriggers-WordPress-Plug-in missbraucht. Schwachstellen in WordPress-Plug-ins stehen bei Cyberkriminellen hoch im Kurs.

(dmk)