Schwerwiegende Schwachstelle in DSGVO-Plugin für WordPress

Durch eine Lücke in der WordPress-Erweiterung WP GDPR Compliance des Entwicklers Van Ons können Angreifer die Kontrolle über die WordPress-Installation und sogar den gesamten Server übernehmen. Wie die Sicherheitsfirma Wordfence meldet, können bis einschließlich Version 1.4.2 des Plugins auch Außenstehende beliebige Einstellungen in der WordPress-Installation tätigen.

In eigener Sache: c't wissen DSGVO

Jetzt bestellen – das c't-Sonderheft zur DSGVO Highlights des Sonderhefts: DSGVO-Praxis von Fachjuristen; was 2019 wirklich wichtig ist; neue Pflichten für Unternehmen; Anforderungen an die IT-Sicherheit; Inklusive Webinar, Kurzpapieren, FAQs, Checklisten.

• c't wissen DSGVO im heise shop

Konkret könnte ein Angreifer dadurch zunächst, sofern nötig, die Nutzerregistrierung einschalten, anschließend auf regulärem Weg einen neuen Account anlegen und diesen schließlich zum Admin erklären. In dieser komfortablen Position kann der Angreifer schließlich auch den Server übernehmen – etwa, indem er eine verseuchte Erweiterung installiert, die eine Webshell enthält.

Die betroffene Erweiterung "WP GDPR Compliance" soll es WordPress-Betreibern erleichtern, den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden. Das Plugin findet offenbar großen Anklang: Das offizielle Plugin-Verzeichnis von WordPress zählt derzeit über 100.000 aktive Installationen und über eine halbe Million Downloads insgesamt.

Schwachstelle bereits aktiv ausgenutzt

Laut Wordfence wird die Schwachstelle bereits aktiv von Online-Ganoven missbraucht. In einigen Fällen hat das Unternehmen festgestellt, dass bei kompromittierten Installationen ein Nutzer namens "t2trollherten" angelegt wurden, zudem haben Angreifer in diesem Zusammenhang Webshells mit dem unauffälligen Namen "wp-cache.php" hinterlassen.

Die abgesicherte Version 1.4.3 steht seit dem 7. November zum Download bereit. Wer das Plugin auf seiner WordPress-Site einsetzt, sollte unbedingt sicherstellen, dass es auf dem aktuellen Stand ist, da WordPress-Installationen seit jeher ein beliebtes Ziel von Online-Angreifern sind. Bei dieser Gelegenheit sollten Admins auch gleich überprüfen, ob das Online-Shop-Plug-in WooCommerce installiert und auf dem aktuellen Stand ist. in älteren Versionen als 3.4.6 klafft ebenfalls eine Schwachstelle, durch die Angreifer die Kontrolle über die WordPress-Installation an sich reißen können. (rei)