WordPress-Plug-in: Kritische Lücke mit Höchstwertung in GiveWP geschlossen
Über eine Schwachstelle im Spenden-Plug-in GiveWP können Angreifer die Kontrolle über WordPress-Websites erlangen. Ein Sicherheitspatch ist verfügbar.
(Bild: serato/shutterstock.com)
Wenn das WordPress-Plug-in GiveWP installiert ist, können Angreifer mit dem Content-Management-System (CMS) erstellte Websites attackieren. Die Sicherheitslücke gilt als "kritisch" und Admins sollten die reparierte Version zeitnah installieren.
Über die Erweiterung können Websitebetreiber unter anderem Spenden-Kampagnen realisieren.
Kritische Lücke
In einer Warnmeldung führen Sicherheitsforscher von Wordfence aus, dass die Schwachstelle (CVE-2024-5932) mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft ist. Aufgrund von unzureichenden Überprüfungen im Kontext des give_title-Parameters können Angreifer Schadcode ausführen und Webserver kompromittieren.
Davon sollen alle GiveWP-Ausgaben bis einschließlich 3.14.1 betroffen sein. Die Forscher geben an, dass die Entwickler die Schwachstelle in der Version 3.14.2 geschlossen haben. Aktuell ist die Ausgabe 3.15.0. Derzeit weist das Plug-in 100.000 aktive Installationen auf.
(des)
