Abo
  • IT-Karriere:

DSGVO: Sicherheitslücke in Wordpress-Addon ermöglicht Admin-Rechte

Durch eine fehlende Identitätsabfrage in einem DSGVO-Plugin für Wordpress können sich Angreifer Administratorkonten für Webseiten anlegen und dann beliebige Schadsoftware verteilen. Die Lücke wird bereits ausgenutzt.

Artikel veröffentlicht am ,
Ein Patch für das Wordpress-Addon sollte schnell geladen werden.
Ein Patch für das Wordpress-Addon sollte schnell geladen werden. (Bild: Pixabay.com/Montage: Golem.de/CC0 1.0)

Security-Analysten haben im DSGVO-Plugin WP GDPR Compliance für das Content-Management-System Wordpress eine gravierende Sicherheitslücke entdeckt. Angreifer konnten darüber eigene Konten mit Administratorrechten erstellen, um diverse Schadsoftware auf infizierten Seiten zu installieren. Das berichtet der Blog des Security-Unternehmens Wordfence. Die Lücke betrifft Versionen 1.4.2 und älter. Ein Patch, der das Problem beheben soll, wird bereits verteilt. Die mehr als 100.000 Downloads machen klar, dass viele Webseitenbetreiber davon betroffen waren. Es wird empfohlen, den Patch so schnell wie möglich zu installieren, da Wordfence bereits einige so infizierte Seiten ausmachen konnte.

Stellenmarkt
  1. OEDIV KG, Bielefeld
  2. hubergroup Deutschland GmbH, Kirchheim bei München

Das Problem liegt in der Case-Auswahl mit Namen save_setting. Die Aktion prüft nicht nach, ob die ausführende Instanz die notwendigen Rechte zum Eingeben von Werten besitzt. So können Angreifer beliebige Eingaben in der Options-Tabelle einer betroffenen Webseite eintragen. Nach dem Ausführen der Methode update_option führt die Aktion zudem mit diesen Parametern beliebige Wordpress-Aktionen mit do_action($option, $value) aus.

  • Die Schwachstelle liegt im dieser Fallauswahl (Bild: Wordfence)
Die Schwachstelle liegt im dieser Fallauswahl (Bild: Wordfence)

Bereits ausgenutzte Sicherheitslücke

Die beiden Methoden werden als jeweils eigenständige Sicherheitslücken identifiziert, führen aber zusammen zum gleichen Ergebnis: Einige Angreifer konnten sich so bereits eigene Konten mit erhöhten Rechten erstellen, indem sie die Standardrolle für neu angelegte Nutzerkonten auf Administrator setzen und die Erstellung neuer Konten auf der Webseite erlauben.

Die Verfasser des Artikels auf Wordfence konnten so beispielsweise Administratorkonten mit Namen wie t2trollherten entdecken. Diese Konten haben dann böswilligen PHP-Code mit der Bezeichnung wp-cache.php hochgeladen. Es ist nicht klar, wie sich diese Anwendungen verhalten. Allerdings ist mit Administratorrechten theoretisch viel möglich - etwa das Abgreifen von Zahlungsdaten, Passwörtern oder von personenbezogenen Daten, die in eine infizierte Datenbank hochgeladen werden.



Anzeige
Hardware-Angebote
  1. (u. a. beide Spiele zu Ryzen 9 3000 oder 7 3800X Series, eines davon zu Ryzen 7 3700X/5 3600X/7...
  2. (reduzierte Überstände, Restposten & Co.)

BennyBorn 12. Nov 2018

Besten Dank für die Klärung!


Folgen Sie uns
       


E-Trofit elektrifiziert Dieselbusse - Bericht

Die Ingolstädter Firma E-Trofit elektrifiziert Dieselbusse. Golem.de hat sich die Umrüstung vorführen lassen.

E-Trofit elektrifiziert Dieselbusse - Bericht Video aufrufen
Star Wars Jedi Fallen Order: Mächtige und nicht so mächtige Besonderheiten
Star Wars Jedi Fallen Order
Mächtige und nicht so mächtige Besonderheiten

Ein Roboter mit Schublade im Kopf, das Lichtschwert als Multifunktionswerkzeug und ein sehr spezielles System zum Wiederbeleben: Golem.de stellt zehn ungewöhnliche Elemente von Star Wars Jedi Fallen Order vor.


    Samsung CRG9 im Test: Das Raumschiffcockpit für den Schreibtisch
    Samsung CRG9 im Test
    Das Raumschiffcockpit für den Schreibtisch

    Keine Frage: An das Curved Panel und das 32:9-Format des Samsung CRG9 müssen wir uns erst gewöhnen. Dann aber wollen wir es fast nicht mehr hergeben. Dank der hohen Bildfrequenz und guten Auflösung vermittelt der Monitor ein immersives Gaming-Erlebnis - als wären wir mittendrin.
    Ein Test von Oliver Nickel

    1. Speichertechnik Samsung will als Erster HBM2 in 12 Ebenen und 24 GByte bauen
    2. Samsung Fehler am Display des Galaxy Fold aufgetreten
    3. Samsung Displaywechsel beim Galaxy Fold einmalig vergünstigt möglich

    Cyberangriffe: Attribution ist wie ein Indizienprozess
    Cyberangriffe
    Attribution ist wie ein Indizienprozess

    Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
    Von Anna Biselli

    1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
    2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
    3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

      •  /