Alert!

Wordpress: 1 Million Webseiten nutzen verwundbares Plug-in WPML

Das Wordpress-Plug-in WPML kommt auf mehr als eine Million aktive Installationen. Jetzt wurde eine kritische LĂĽcke darin gestopft.

In Pocket speichern vorlesen Druckansicht 18 Kommentare lesen
Laptop zeigt Wordpress-Logo, Viren fliegen herum

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Von

Im Wordpress-Plug-in WPML haben IT-Sicherheitsforscher eine kritische Sicherheitslücke entdeckt. Authentifizierte Angreifer können dadurch Schadcode aus dem Netz einschleusen. Ein Update schließt das Leck in dem Plug-in, das auf mehr als einer Million Webseiten installiert wurde.

In einer Sicherheitsmitteilung erörtern die IT-Analysten von Wordfence Details zur Schwachstelle. Authentifizierte Angreifer können in der PHP-Template-Engine Twig serverseitig Templates einschleusen (Twig Server-Side Template Injection). Bösartige Akteure mit Zugriff auf den Post-Editor können die Lücke missbrauchen.

Nach ersten Kontaktschwierigkeiten kam die Kommunikation zwischen Hersteller und Wordfence Anfang August in Schwung, erörtern die Autoren des Blog-Beitrags. Seit dem Dienstag vergangener Woche steht eine aktualisierte Version des WPML-Plug-ins bereit, die die Sicherheitslücke stopft.

Betroffen ist WPML bis einschließlich Version 4.6.12. Die Plug-in-Fassung 4.6.13 oder neuer korrigieren den sicherheitsrelevanten Fehler. Im Blog-Beitrag erörtern die Autoren nicht nur Details zur Lücke, sondern liefern auch einen Proof-of-Concept mit. Das erleichtert Angreifern, einen Exploit zu entwickeln. Deshalb sollten Admins, die das WPML-Plug-in einsetzen, das verfügbare Update zügig installieren.

Wordpress-Plug-ins reißen häufig Sicherheitslücken in Wordpress-Instanzen. Erst vergangene Woche wurde eine kritische Lücke in dem LiteSpeed-Cache-Plug-in bekannt. Angreifer können dadurch die komplette Instanz kompromittieren. Das Plug-in kommt auf mehr als fünf Millionen aktive Installationen. Auch dort hilft das Anwenden eines Updates, vor erfolgreichen Angriffen zu schützen.

(dmk)