Sicherheitsforscher von Wordfence haben in zwei populären Erweiterungen für das Contentmanagement-System Wordpress problematische Sicherheitslecks entdeckt. Betroffen sind Elementor, ein Werkzeug für einfachere Seitengestaltung, sowie WP Super Cache, das die Ladezeiten für Besucher von Webauftritten verbessern soll.

Code lässt sich einschmuggeln

Aufgrund fehlender, serverseitiger Validierung von HTML-Tags seitens des Elementor-Editors können Angreifer mit Berechtigung für das Anlegen von Beitragen Javascript-Code an selbige anhängen. Werden diese dann vor der Freischaltung von Nutzern mit Autoren- oder Administratoren-Berechtigung zwecks Prüfung gesichtet, so wird der eingefügte Code in ihren Browsern und mit ihren Rechten ausgeführt.

Auf diesem Wege ließe sich etwa unbemerkt ein weiteres Adminkonto für bösartige Zwecke anlegen oder ein Backdoor installieren, um die Kontrolle über die Seite zu übernehmen.

Bei WP Super Cache ist es aufgrund einer Sicherheitslücke hingegen für Angreifer möglich, bösartigen Code hochladen und ausführen zu lassen. Auch das birgt das Risiko einer feindlichen Übernahme.

Millionenfach installiert

Das bedeutet ein Risiko für zahlreiche Webseiten. Alleine Elementor soll auf sieben Millionen Auftritten in Verwendung sein. WP Super Cache kommt demnach auf zwei Millionen Installationen.

Die Entwickler der Plugins haben mittlerweile Updates veröffentlicht, mit denen die Lücken beseitigt wurden. Wer die Erweiterungen im Einsatz hat, sollte also sicher stellen, die aktuellsten Ausgaben – Elementor 3.1.4 und WP Super Cache 1.7.2 – zu verwenden. (gpi, 18.3.2021)