Kein Patch für Lücke in WordPress-Plug-in Fancy Product Designer in Sicht
Es können Attacken auf Onlineshops auf WordPress-Basis mit Fancy Product Designer bevorstehen.
(Bild: solarseven/Shutterstock.com)
Zwei Sicherheitslücken im WordPress-Plug-in Fancy Product Designer gefährden Onlineshops. Ein Sicherheitsupdate ist bislang nicht verfügbar. Sind Attacken erfolgreich, können Angreifer Shops vollständig kompromittieren. Mit dem Plug-in können Onlineshopbetreiber unter anderem Produkte für ihren Shop gestalten.
Warten auf Sicherheitspatch
Davor warnen Sicherheitsforscher von Patchstack in einem Beitrag. Die zwei Schwachstellen (CVE-2024-51919, CVE-2024-51818) sind als "kritisch" eingestuft. Sind Attacken erfolgreich, können Angreifer über die defekte Uploadfunktion Hintertüren installieren oder manipulierend auf Datenbanken zugreifen. Bislang gibt es keine Hinweise auf Attacken.
Die Forscher führen aus, die Lücken bereits im März 2024 an den Anbieter des Plug-ins gemeldet zu haben. Seitdem gab es ihnen zufolge mehrere Kontaktaufnahmen, sie haben aber bislang keine Antwort erhalten. Die aktuelle Ausgabe 6.4.3 soll nach wie vor verwundbar sein. Ob und wann ein Patch erscheint, bleibt weiterhin unklar. Bis dahin sollte man das Plug-in aus Sicherheitsgründen nicht nutzen.
(des)
