Jetzt updaten: WordPress-Plugin "The Plus Addons for Elementor" unter Beschuss
Für die kostenpflichtige Variante des Plugins "The Plus Addons for Elementor" steht seit dem gestrigen Dienstag ein Update gegen eine kritische Lücke bereit.
(Bild: David MG / Shutterstock.com)
Das Team von Wordfence, einem Sicherheits-Plugin für WordPress, hat in einem Blogeintrag auf eine kritische Sicherheitslücke in der kostenpflichtigen Version von "The Plus Addons for Elementor" hingewiesen. Dabei handelt es sich um ein Plugin, das Widgets, Templates und Tools für den WordPress Website Builder Elementor in sich vereint.
Besagte Sicherheitslücke wird offenbar mindestens seit vergangener Woche aktiv angegriffen; Nutzer sollten jetzt auf die neueste, am gestrigen Dienstag erschienene Version updaten.
Version 4.1.7 abgesichert, "Lite"-Variante nicht betroffen
Das Premium-Plugin "The Plus Addons for Elementor" findet nach Schätzungen des Wordfence-Teams in über 30.000 WordPress-Installationen Verwendung. Die neue Version 4.1.7 ist gegen die Sicherheitslücke mit der CVE-ID 2021-24175 (CVSS-Score 9.8) abgesichert, alle früheren sind verwundbar. Das gilt auch für Version 4.1.6, die ebenfalls erst gestern veröffentlicht wurde, bevor die Plugin-Entwickler später noch einmal nachlegten. In einem eigenen Blogeintrag raten sie dringend zum Update auf Version 4.1.7.
Von CVE-ID 2021-24175 laut Wordfence wohl nicht betroffen ist die Gratis-Variante des Plugins, "The Plus Addons for Elementor Page Builder Lite". Sie benötigt dementsprechend auch keine Aktualisierung.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Aktive Exploits – Übernahme der WP-Installation möglich
Einem Eintrag zu CVE-ID 2021-24175 in der Schwachstellen-Datenbank WPScan zufolge wird das Plugin mindestens seit dem 5. März aktiv angegriffen. Die Schwachstelle ermöglicht das Umgehen von Authentifizierungsmechanismen aus der Ferne: Angreifer ohne jegliche Zugangsdaten könnten sie demnach missbrauchen, um sich als beliebiger Nutzer (auch als Admin) anzumelden oder um neue (Admin-)Accounts anzulegen, sofern diese Funktion aktiviert ist.
Proof-of-Concept-Code soll am 31. März 2021 bei WPScan veröffentlicht werden – ein Grund mehr, jetzt auf "The Plus Addons for Elementor" in Version 4.1.7 umzusteigen.
Lesen Sie auch
WordPress 5.7 erleichtert Umstellung auf HTTPS
(ovw)