Sicherheitsupdate: Kritische LĂĽcke in WordPress-Plug-in NextGen Gallery
Ein Schlupfloch in NextGen Gallery könnte Schadcode auf 800.000 WordPress-Websites lassen.
Wer auf seiner mit dem Content Management System (CMS) WordPress erstellten Internetseite Bildergalerien mit dem Plug-in NextGen Gallery administriert, sollte das Plug-in aus SicherheitsgrĂĽnden auf den aktuellen Stand bringen.
Angreifer könnten zwei Sicherheitslücken in NextGen Gallery ausnutzen, um Schadcode auf Websites zu schieben. So etwas endet in der Regel damit, dass Angreifer die volle Kontrolle über Seiten erlangen. Davor warnen Sicherheitsforscher von Wordfence in einem Beitrag. Das Plug-in weist derzeit 800.000 aktive Installationen auf.
Schadcode-Attacken
Eine Schwachstelle (CVE-2020-35942) ist als „kritisch“ eingestuft. Für eine erfolgreiche CSFR-Attacke müsste ein Angreifer einen auf einer Website eingeloggten Admin dazu bringen, beispielsweise auf einen präparierten Link zu klicken. Aufgrund eines Fehlers in einer Überprüfungsroutine könnte ein Angreifer im Anschluss Schadcode auf Websites loslassen.
Die zweite Lücke (CVE-2020-35943) ist ähnlich gelagert und eine erfolgreiche Attacke führt ebenfalls dazu, dass Angreifer mit Schadcode präparierte Dateien hochladen können, die dann ausgeführt werden. Die Sicherheitslücke ist mit dem Schweregrad „hoch“ eingestuft.
Die Sicherheitsforscher geben an, dass die Plug-in-Entwickler innerhalb von wenigen Tagen reagiert und die abgesicherte Version NextGen Gallery 3.5.0 veröffentlicht haben.
(des)