Wordpress: 1 Million Webseiten nutzen verwundbares Plug-in WPML
Das Wordpress-Plug-in WPML kommt auf mehr als eine Million aktive Installationen. Jetzt wurde eine kritische Lücke darin gestopft.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Im Wordpress-Plug-in WPML haben IT-Sicherheitsforscher eine kritische Sicherheitslücke entdeckt. Authentifizierte Angreifer können dadurch Schadcode aus dem Netz einschleusen. Ein Update schließt das Leck in dem Plug-in, das auf mehr als einer Million Webseiten installiert wurde.
In einer Sicherheitsmitteilung erörtern die IT-Analysten von Wordfence Details zur Schwachstelle. Authentifizierte Angreifer können in der PHP-Template-Engine Twig serverseitig Templates einschleusen (Twig Server-Side Template Injection). Bösartige Akteure mit Zugriff auf den Post-Editor können die Lücke missbrauchen.
Update für WPML verfügbar
Nach ersten Kontaktschwierigkeiten kam die Kommunikation zwischen Hersteller und Wordfence Anfang August in Schwung, erörtern die Autoren des Blog-Beitrags. Seit dem Dienstag vergangener Woche steht eine aktualisierte Version des WPML-Plug-ins bereit, die die Sicherheitslücke stopft.
Betroffen ist WPML bis einschließlich Version 4.6.12. Die Plug-in-Fassung 4.6.13 oder neuer korrigieren den sicherheitsrelevanten Fehler. Im Blog-Beitrag erörtern die Autoren nicht nur Details zur Lücke, sondern liefern auch einen Proof-of-Concept mit. Das erleichtert Angreifern, einen Exploit zu entwickeln. Deshalb sollten Admins, die das WPML-Plug-in einsetzen, das verfügbare Update zügig installieren.
Wordpress-Plug-ins reißen häufig Sicherheitslücken in Wordpress-Instanzen. Erst vergangene Woche wurde eine kritische Lücke in dem LiteSpeed-Cache-Plug-in bekannt. Angreifer können dadurch die komplette Instanz kompromittieren. Das Plug-in kommt auf mehr als fünf Millionen aktive Installationen. Auch dort hilft das Anwenden eines Updates, vor erfolgreichen Angriffen zu schützen.
(dmk)