Ultimate Members Plugin bedroht WordPress-Websites - Sicherheitsupdate notwendig

10.11.2020 11:02 Uhr heise

Sicherheitsupdate: Ultimate Member Plug-in gefährdet Wordpress-Seiten

Es wurde bekannt, dass das Ultimate Members Plugin ein potenzielles Sicherheitsrisiko für WordPress-Seiten darstellt. Cyberkriminelle könnten mit geringem Aufwand die Administratorenrechte erlangen und somit die volle Kontrolle über die Webseite übernehmen. Das Plugin wird von über 100.000 WordPress-Seiten genutzt und dient der Verwaltung von Nutzerregistrierungen und Konten. Es ist dringend empfohlen, ein Sicherheitsupdate durchzuführen, um Schwachstellen zu vermeiden.

In der aktuellen Version 2.1.12 haben die Entwickler die drei als "kritisch" eingestuften Sicherheitslücken geschlossen. Wie aus einem Bericht von Wordfence hervorgeht, sind zwei der Schwachstellen mit dem höchstmöglichen CVSS 3.1 Score 10 von 10 eingestuft. CVE-Nummern wurden bislang noch nicht vergeben.

Attacken mit wenig Aufwand

Da das Plug-in bei der Nutzer-Registrierung übermittelte Daten nur unzureichend prüft, könnten sich Angreifer mit der bloßen Angabe von wp_capabilities[administrator] zum Website-Admin machen. Auch die anderen Lücken sind mit vergleichsweise wenig Aufwand ausnutzbar.

Die Sicherheitsforscher geben an, die Plug-in-Entwickler Ende Oktober kontaktiert zu haben. Die reparierte Version erschien nach rund einer Woche.

Zuletzt aktualisiert am 10.07.2023 22:32 Uhr

Kommentare

Ähnliche News

WordPress-Plugin mit verstecktem Zugriff entfernt

Das WordPress-Plugin zur Verwaltung von Widgets namens "Display Widgets" wurde wegen einer versteckten Backdoor aus dem Repository entfernt. Der Herausgeber des Plugins hatte über Monate hinweg Fernzugriff auf die betroffenen Webseiten. Aktualisierte Versionen des Plugins wurden zur Bereinigung der bestehenden Installationen veröffentlicht. 6.0 bis einschließlich 2.6.

Automattic kauft ActivityPub-Plugin für WordPress und unterstützt damit das Fediverse

WordPress hat ein Plugin erworben, das es den Nutzern ermöglicht, ihre Blogs an das dezentrale soziale Netzwerk Fediverse anzuschließen. Sobald das Plugin auf einer WordPress-Website installiert ist, können Leser dem Blog auf verschiedenen dezentralen sozialen Netzwerken folgen und ihn lesen, teilen und kommentieren.

Sicherheitsupdate für das WordPress-Plugin Akismet

WordPress-Plug-in: Sicherheitsupdate für Akismet

Das beliebte WordPress-Plugin Akismet weist Sicherheitslücken auf, die durch ein neues Update behoben werden können. WordPress-Nutzer, die das Akismet-Plugin zur Spamfilterung verwenden, werden dringend dazu aufgerufen, die Version 3.1.5 zu installieren. Bereits seit Version 2.5 sind Sicherheitsprobleme bekannt. Aktuell soll es aber keinen Exploit geben.

Neue Entdeckungen von Sicherheitslücken im Disqus-Plug-in für WordPress

Ältere Versionen von Disqus für WordPress angreifbar

Ein renommierter Sicherheitsforscher hat kürzlich mehrere Sicherheitslücken im weit verbreiteten Disqus-Plug-in für WordPress entdeckt. Dieser Fund unterstreicht die Notwendigkeit für Administratoren, sicherzustellen, dass alle verfügbaren Updates für das Plug-in installiert wurden.

Gefährliches WordPress-Plugin tarnt sich als Sicherheitsmaßnahme

Ein gefälschtes Sicherheits-Plugin namens X-WP-SPAM-SHIELD-PRO wird derzeit als legitime WordPress-Erweiterung verkauft, obwohl es in Wirklichkeit eine Backdoor auf den betroffenen Webseiten einrichtet. Dies stellt ein erhebliches Sicherheitsrisiko für die Besitzer dieser Seiten dar.