Alert!

Sicherheitsupdate: Wordpress-Plug-in WP Statistics könnte Passwort-Hashes leaken

Eine kritische Sicherheitslücke in WP Statistics gefährdet potenziell 600.000 Wordpress-Websites.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen

(Bild: Artur Szczybylo/Shutterstock.com)

Lesezeit: 1 Min.

Kommt das Plug-in WP Statistics auf einer Wordpress-Seite zum Einsatz, könnten Angreifer an einer "kritischen" Schwachstelle (CVE-2022-0513) ansetzen und auf eigentlich abgeschottete Informationen zugreifen. Eine aktualisierte Version schafft Abhilfe.

Das Plug-in sammelt DSGVO-konform Statistiken über Website-Besucher und visualisiert diese Daten. Der offiziellen Plug-in-Website zufolge weist es 600.000 aktive Installationen auf. Admins sollten sicherstellen, dass die aktuelle Ausgabe 13.1.5 installiert ist.

In einem Beitrag von Wordfence führen die Sicherheitsforscher aus, dass Seiten mit dem Plug-in nur verwundbar sind, wenn das Record-Exclusion-Feature aktiv ist. Um die Statistik nicht zu verfälschen, kann man darüber beispielsweise festlegen, dass Seitenaufrufe von Admins nicht gezählt werden.

Dabei kommt es aber zu Fehlern kommen und Angreifer könnten bestehende Anfragen um eigene SQL-Abfragen ergänzen und darüber beispielsweise Passwort-Hashes aus der Datenbank extrahieren.

(des)