Exploiting Ultimate Member: Wie eine kritische Lücke Passwort-Hashes preisgibt

Kritische Lücke in Wordpress-Plug-in Ultimate Member leakt Passwort-Hashes

Die Entwickler des Wordpress-Plug-ins Ultimate Member müssen sich warm anziehen, denn ihr Produkt offenbart eine ernsthafte Sicherheitslücke die für potenzielle Angreifer äußerst verlockend sein könnte.



Was ist passiert?


Sicherheitsforscher von Wordfence haben eine Schwachstelle in den Versionen 2․1.3 und 2․8.2 des Ultimate Member-Plug-ins entdeckt. Diese Lücke ermöglicht es Angreifern, durch eine SQL-Injection-Attacke in die Website einzudringen und unter anderem Zugriff auf Passwort-Hashes zu erlangen. Aber keine Panik die Passwörter liegen nicht im Klartext vor , allerdings sind verschlüsselt.



Was bedeutet das für Website-Betreiber?


Website-Admins sollten schnell handeln und das Update auf die Version 2․8.3 des Plug-ins installieren um sich gegen potenzielle Angriffe zu schützen. Es ist ratsam dies so bald wie möglich zu erledigen um die Sicherheit der eigenen Seite zu gewährleisten.



Belohnung für den Entdecker


Die Meldung der Sicherheitslücke im Rahmen des Bug-Bounty-Programms von Wordfence brachte dem Entdecker der Schwachstelle eine Belohnung von etwa 2000 US-Dollar ein. Da kann man schon mal überlegen ob sich das Aufspüren von Sicherheitslücken finanziell lohnt.



Fazit: Aufpassen und handeln!


Die Welt der Cybersecurity ist ständig in Bewegung und es ist wichtig, dass Entwickler und Website-Betreiber wachsam bleiben. Die schnelle Reaktion der Ultimate Member-Entwickler zeigt, dass sie die Sicherheit ihrer Nutzer ernst nehmen. Trotzdem ist es ratsam; stets auf dem neuesten Stand zu bleiben und Sicherheitsupdates zeitnah zu installieren. In einer vernetzten Welt wie der unseren sollte man besser auf Nummer sicher gehen.






Kommentare


Anzeige