Wordpress-Plug-in mit 150.000 Installation ermöglicht beliebige Dateiuploads

Auf mehr als 150.000 Installationen kommt das Wordpress-Plug-in Modern Events Calendar laut dem IT-Sicherheitsunternehmen Wordfence vor. Darin haben IT-Sicherheitsforscher eine Sicherheitslücke entdeckt, die Angreifern das Hochladen beliebiger Dateien ermöglicht.

Die IT-Forscher von Wordfence haben eine Analyse in ihrem Blog veröffentlicht, der zufolge die Lücke bereits Ende Mai entdeckt wurde. Durch eine fehlende Überprüfung des Dateityps in der Funktion set_featured_image können Angreifer beliebige Dateien hochladen. Das könne das Ausführen von Schadcode aus dem Netz ermöglichen, erklären die Analysten (CVE-2024-5441, CVSS 8.8, Risiko "hoch"). Angreifer benötigen dafür die Berechtigungsstufe "Subscriber" oder höher. Das Plug-in erlaube Administratoren, in den Einstellungen auch nicht authentifizierten Nutzern das Eintragen von Ereignissen zu gestatten – in dem Fall können auch Angreifer ohne vorherige Anmeldung Schadcode einschmuggeln und ausführen.

Aktualisierte Plug-in-Version verfügbar

Betroffen ist das Plug-in Modern Events Calendar in Version 7.11.0 und älteren. Die Informationen zur Schwachstelle habe Wordfence bereits Ende Mai an die Entwickler geschickt. Diese hätten demnach Mitte Juni geantwortet und am Montag dieser Woche schließlich die fehlerbereinigte Version 7.12.0 des Plug-ins veröffentlicht.

Nutzer des Modern Event Calendar respektive der Light-Variante sollten die aktuelle Fassung so schnell wie möglich installieren.

Lesen Sie auch

Wordpress: Fünf Plug-ins mit Malware unterwandert

Erst vor rund zwei Wochen wurde bekannt, dass Angreifer gleich in fünf Wordpress-Plug-ins gleichartigen Schadcode einfügen konnten. Es gab lediglich für eines davon eine Aktualisierung. Angreifer konnten durch den eingeschmuggelten Code Administratorkonten anlegen und so die Wordpress-Instanz faktisch übernehmen.

(dmk)