Update erforderlich: Kritische Sicherheitslücke in drei WordPress-Plugins
Eine Lücke in den wenig populären WordPress-Erweiterungen Appointments, Flickr Gallery und RegistrationMagic-Custom Registration Forms ermöglicht Angreifern die Installation einer Backdoor. Nutzer sollten schnellstmöglich updaten.
(Bild: pixabay.com)
Drei WordPress-Plugins enthalten eine Sicherheitslücke, die Angreifern nutzen könnten, um eine PHP-Backdoor in einem beliebigen Verzeichnis zu installieren. Betroffen sind die Plugins Appointments vor Version 2.2.2, Flickr Gallery vor 1.5.3 und RegistrationMagic-Custom Registration Forms vor 3.7.9.3. Die Lücke wurde von ihren Entdeckern, dem Entwicklerteam des Sicherheits-Plugins Wordfence, als kritisch eingestuft und mit dem CVSSv3-Score 9.8 versehen.
Die Backdoor-Installation sei sehr einfach, erfordere keinerlei Authentifizierung auf der attackierten WordPress-Seite und ermögliche deren komplette Übernahme. Zwar sind die Plugins mit einer Gesamtzahl von etwa 21.000 Installationen nicht sonderlich verbreitet. Es besteht allerdings die Gefahr, dass Kriminelle den verwundbaren Plugin-Code analysieren und für künftige Angriffe mit neuen Plugins verwenden könnten.
Plugin-Nutzer sollten ein sofortiges Update durchführen: Appointments Version 2.2.2, Flickr Gallery 1.5.3 und RegistrationMagic-Custom Registration Forms ab Version 3.7.9.3 sind gegen Angriffe abgesichert. (ovw)
