Kritische Lücke in WordPress-Plugin Profile Builder macht jeden zum Site-Admin

In der aktuellen Version des WordPress-Plugin Profile Builder haben die Entwickler eine Sicherheitslücke mit Höchstwertung geschlossen.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen
Kritische Lücke in WordPress-Plugin Profile Builder mach jeden zum Site-Admin

(Bild: AFANASEV IVAN/Shutterstock.com)

Lesezeit: 1 Min.

Admins, die auf WordPress-Websites das Plugin Profile Builder in der Free-, Hobbyist- oder Pro-Version einstetzen, sollten die aktuelle Version installieren. Ansonsten könnten Angreifer mit vergleichsweise wenig Aufwand die volle Kontrolle über Websites erlangen.

Die als kritisch eingestufte Sicherheitslücke ist mit der Höchstwertung versehen (CVSS 3.0 Score 10 von 10). Eine CVE-Nummer wurde offensichtlich noch nicht vergeben. Angriffe können direkt über das Internet und ohne Authentifizierung stattfinden. Die Profile-Builder-Version 3.1.1 ist abgesichert. Alle vorigen Ausgaben sind einer Warnmeldung von Wordfence zufolge bedroht. Bislang soll es ihnen zufolge keine Attacken gegeben haben.

Das Plugin gibt Seiten-Besuchern die Möglichkeit, Profile anzulegen und zu bearbeiten. Aufgrund der Schwachstelle könnten Angreifer Eingaben für eigentlich nicht vorhandene Felder abschicken. Legt ein Admin beispielsweise ein Formular ohne ein Feld für die Vergabe von Nutzerrechten für registrierte Nutzer an, könnte ein Angreifer so ein Admin-Konto anlegen. (des)