WordPress-Websites mit Plug-in UiCore Elements verwundbar
Angreifer können WordPress-Seiten, die das Plug-in UiCore Elements installiert haben, ins Visier nehmen. Ein Sicherheitspatch steht zum Download bereit.
(Bild: David MG / Shutterstock.com)
Das verwundbare WordPress-Plug-in UiCore Elements weist derzeit rund 40.000 aktive Installationen auf. Angreifer können an zwei Sicherheitslücken ansetzen, um diese Seiten zu attackieren. Eine reparierte Version verfügt über einen Patch.
Zwei LĂĽcken geschlossen
Vor den Schwachstellen warnen Sicherheitsforscher von Wordfence in einem Beitrag. Mit UiCore Elements können Websitebetreiber ihre Seiten unter anderem optisch anpassen und mit Widgets ausstatten.
Aufgrund von unzureichenden Überprüfungen bei der Uploadfunktion können Angreifer ohne Authentifizierung Dateien mit sensiblen Informationen auf Servern einsehen (CVE-2025-6254 "hoch"). Zum Ausnutzen der zweiten Sicherheitslücke (CVE-2025-8081 "mittel") müssen Angreifer bereits als Admin authentifiziert sein.
Zurzeit gibt es keine Hinweise, dass Angreifer die Schwachstellen bereits ausnutzen. Admins sollten aber nicht zu lange mit dem Patchen zögern. Die Version 1.3.1 ist abgesichert.
Videos by heise
Zuletzt warnten die Sicherheitsforscher vor Angriffsversuchen auf das WordPress-Theme Alone.
(des)
