Abo
  • IT-Karriere:

DSGVO: Sicherheitslücke in Wordpress-Addon ermöglicht Admin-Rechte

Durch eine fehlende Identitätsabfrage in einem DSGVO-Plugin für Wordpress können sich Angreifer Administratorkonten für Webseiten anlegen und dann beliebige Schadsoftware verteilen. Die Lücke wird bereits ausgenutzt.

Artikel veröffentlicht am ,
Ein Patch für das Wordpress-Addon sollte schnell geladen werden.
Ein Patch für das Wordpress-Addon sollte schnell geladen werden. (Bild: Pixabay.com/Montage: Golem.de/CC0 1.0)

Security-Analysten haben im DSGVO-Plugin WP GDPR Compliance für das Content-Management-System Wordpress eine gravierende Sicherheitslücke entdeckt. Angreifer konnten darüber eigene Konten mit Administratorrechten erstellen, um diverse Schadsoftware auf infizierten Seiten zu installieren. Das berichtet der Blog des Security-Unternehmens Wordfence. Die Lücke betrifft Versionen 1.4.2 und älter. Ein Patch, der das Problem beheben soll, wird bereits verteilt. Die mehr als 100.000 Downloads machen klar, dass viele Webseitenbetreiber davon betroffen waren. Es wird empfohlen, den Patch so schnell wie möglich zu installieren, da Wordfence bereits einige so infizierte Seiten ausmachen konnte.

Stellenmarkt
  1. Deutsches Krebsforschungszentrum (DKFZ), Heidelberg
  2. hubergroup Deutschland GmbH, Kirchheim bei München

Das Problem liegt in der Case-Auswahl mit Namen save_setting. Die Aktion prüft nicht nach, ob die ausführende Instanz die notwendigen Rechte zum Eingeben von Werten besitzt. So können Angreifer beliebige Eingaben in der Options-Tabelle einer betroffenen Webseite eintragen. Nach dem Ausführen der Methode update_option führt die Aktion zudem mit diesen Parametern beliebige Wordpress-Aktionen mit do_action($option, $value) aus.

  • Die Schwachstelle liegt im dieser Fallauswahl (Bild: Wordfence)
Die Schwachstelle liegt im dieser Fallauswahl (Bild: Wordfence)

Bereits ausgenutzte Sicherheitslücke

Die beiden Methoden werden als jeweils eigenständige Sicherheitslücken identifiziert, führen aber zusammen zum gleichen Ergebnis: Einige Angreifer konnten sich so bereits eigene Konten mit erhöhten Rechten erstellen, indem sie die Standardrolle für neu angelegte Nutzerkonten auf Administrator setzen und die Erstellung neuer Konten auf der Webseite erlauben.

Die Verfasser des Artikels auf Wordfence konnten so beispielsweise Administratorkonten mit Namen wie t2trollherten entdecken. Diese Konten haben dann böswilligen PHP-Code mit der Bezeichnung wp-cache.php hochgeladen. Es ist nicht klar, wie sich diese Anwendungen verhalten. Allerdings ist mit Administratorrechten theoretisch viel möglich - etwa das Abgreifen von Zahlungsdaten, Passwörtern oder von personenbezogenen Daten, die in eine infizierte Datenbank hochgeladen werden.



Anzeige
Hardware-Angebote

BennyBorn 12. Nov 2018

Besten Dank für die Klärung!


Folgen Sie uns
       


Radeon RX 5700 (XT) - Test

Die Navi-10-Grafikkarten schlagen die Geforce RTX 2060(S), benötigen aber etwas mehr Energie und unterstützen kein Hardware-Raytracing, dafür sind sie günstiger.

Radeon RX 5700 (XT) - Test Video aufrufen
Disintegration angespielt: Fast wie ein Master Chief mit Privatarmee
Disintegration angespielt
Fast wie ein Master Chief mit Privatarmee

Gamescom 2019 Ein dick gepanzerter Held auf dem Schwebegleiter plus bis zu vier Fußsoldaten, denen man Befehle erteilen kann: Das ist die Idee hinter Disintegration. Golem.de hat das Actionspiel ausprobiert.
Von Peter Steinlechner

  1. Omen HP erweitert das Command Center um Spiele-Coaching
  2. Games Spielentwickler bangen weiter um Millionenförderung
  3. Gamescom Opening Night Hubschrauber, Historie plus Tag und Nacht für Anno 1800

Mobile Payment: Mit QR-Code-Kooperation zum europäischen Standard
Mobile Payment
Mit QR-Code-Kooperation zum europäischen Standard

Die Mobile Wallet Collaboration will ein einheitliches QR-Format als technische Grundlage für ein vereinfachtes Handling etablieren. Die Allianz aus sechs europäischen Bezahldiensten und Alipay aus China ist eine ernstzunehmende Konkurrenz für Google, Apple, Facebook, Amazon.
Von Sabine T. Ruh


    Erdbeobachtung: Satelliten im Dienst der erneuerbaren Energien
    Erdbeobachtung
    Satelliten im Dienst der erneuerbaren Energien

    Von oben ist der Blick auf die Erde am besten. Satelliten werden deshalb für die Energiewende eingesetzt: Mit ihnen lassen sich beispielsweise die Standorte für Windkraftwerke oder Solaranlagen bestimmen sowie deren Ertrag prognostizieren.
    Ein Bericht von Jan Oliver Löfken

    1. Rocketlab Kleine Rakete wird wiederverwendbar und trotzdem teurer
    2. Space Data Highway Esa bereitet Laser-Kommunikationsstation für den Start vor
    3. Iridium Certus Satelliten-Breitbandnetz startet mit 350 bis 700 KBit/s

      •  /