Sicherheitslücke: Wordpress-Plugin Themegrill löscht Datenbank

Ein Wordpress-Plugin hat eine Funktion, mit der man die komplette Datenbank neu aufsetzen kann. Das Problem dabei: Diese Funktion lässt sich auch ohne Authentifizierung erreichen - und ermöglicht in manchen Fällen ein Übernehmen des Wordpress-Systems.

Artikel veröffentlicht am ,
Und plötzlich sind alle Daten weg: Ein Wordpress-Plugin der Firma Themegrill hat eine gefährliche Sicherheitslücke.
Und plötzlich sind alle Daten weg: Ein Wordpress-Plugin der Firma Themegrill hat eine gefährliche Sicherheitslücke. (Bild: Heiko Tobien/Wikimedia Commons/CC-BY-SA 4.0)

Die IT-Sicherheitsfirma WebARX warnt vor einer gefährlichen Sicherheitslücke in einem Wordpress-Plugin. Das Plugin Themegrill Demo Importer kann demnach die komplette Datenbank einer Wordpress-Installation löschen. Wenn zudem noch ein Nutzer mit dem Benutzernamen "admin" existiert, kann man die Lücke auch nutzen, um die Wordpress-Installation zu übernehmen und Code auszuführen.

Stellenmarkt
  1. IT-Support / Administrator / Developer für MS-Dynamics (m/w/d)
    Krannich Group GmbH, Stuttgart (Home-Office möglich)
  2. System Engineer (m/w/d) im Bereich Linux
    DIEHL Informatik GmbH, Nürnberg
Detailsuche

Das Plugin von Themegrill, einer Firma, die Wordpress-Themes verkauft, dient dazu, Wordpress-Seiten mit Beispielinhalten zu füllen, um die Funktionalität der Themes zu testen. Das Theme installiert dabei eine Hooking-Funktion, die die Möglichkeit bietet, die komplette Datenbank von Wordpress neu aufzusetzen.

Jeder kann Datenbank löschen

Diese Funktion wird aktiviert, wenn eine bestimmte GET-Variable in der URL gesetzt ist und kann beispielsweise über das Ajax-Interface von Wordpress erreicht werden. Das Problem: Das funktioniert auch für nicht angemeldete Benutzer. Ein Angreifer kann also einfach die Datenbank eines Wordpress-Systems löschen, alle bisher erstellten Inhalte sind dann weg.

Die Funktion sorgt außerdem dafür, dass ein eventuell vorhandener Account mit dem Benutzernamen "admin" nach dem Resetten der Datenbank erneut angelegt wird und der Nutzer, der die Aktion ausführt, damit eingeloggt wird. Sprich: Wenn ein solcher Account existiert, kann man die Sicherheitslücke auch nutzen, um anschließend die komplette Wordpress-Installation zu kontrollieren. Über die Installation von Plugins kann man damit auch Code ausführen.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. OpenShift Installation & Administration
    9.-11. August 2021, online
Weitere IT-Trainings

Angreifer suchen bereits nach verwundbaren Installationen, ich habe beispielsweise in den Logs meiner privaten Webseite entsprechende Anfragen gefunden. Themegrill hat inzwischen ein Update bereitgestellt, in Version 1.6.3 wird geprüft, ob die Aktion von einem angemeldeten Nutzer ausgeführt wird. Wer das Plugin einsetzt, sollte also entweder schnellstmöglich aktualisieren oder das Plugin komplett entfernen.

Generell gilt: Da das Core-System von Wordpress inzwischen vergleichsweise sicher ist, geht das größte Sicherheitsrisiko von Plugins aus. Daher sollte man grundsätzlich so wenige Plugins wie möglich installieren und nicht mehr benötigte Plugins löschen.

Nachtrag vom 18. Februar 2020, 11:34 Uhr

Inzwischen werden Angriffe auf die Sicherheitslücke durchgeführt. Einige Webseiten, die das Plugin nutzen, haben inzwischen keine Inhalte mehr und zeigen nur noch das Beispielpost ("Hello World!"), das bei einer Wordpress-Neuinstallation angelegt wird.

Nachtrag vom 19. Februar 2020, 9:03 Uhr

Der ursprüngliche Fix für die Sicherheitslücke war unvollständig. Es war weiterhin möglich, die Sicherheitslücke durch einen Cross-Site-Request-Forgery-Angriff auszunutzen. Wer bisher nur auf die Version 1.6.2 aktualisiert hat, sollte ein weiteres Update durchführen und Version 1.6.3 installieren oder, falls nicht mehr benötigt, das Plugin ganz entfernen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Sea of Thieves
Rund zehn Stunden Abenteuer unter der Piratenflagge

Die solo spielbare Kampagne Sea of Thieves: A Pirate's Life schickt Freibeuter in den Fluch der Karibik mit Jack Sparrow und Davy Jones.
Von Peter Steinlechner

Sea of Thieves: Rund zehn Stunden Abenteuer unter der Piratenflagge
Artikel
  1. Bundesdruckerei: Pilotbetrieb für digitale Schulzeugnisse gestartet
    Bundesdruckerei
    Pilotbetrieb für digitale Schulzeugnisse gestartet

    Das digitale Schulzeugnis soll vieles einfacher und sicherer machen, zunächst gehen drei Bundesländer mit IT-Experten in die Erprobung.

  2. PC-Hardware: Grafikkarten werden günstiger und besser verfügbar
    PC-Hardware
    Grafikkarten werden günstiger und besser verfügbar

    Die Preise für Grafikkarten sind zuletzt gesunken, es gibt mehr Pixelbeschleuniger auf Lager. Das hat mehrere Gründe.

  3. Razer Blade 14 im Test: Der dreifach einzigartige Ryzen-Laptop
    Razer Blade 14 im Test
    Der dreifach einzigartige Ryzen-Laptop

    Kompakter und flotter: Das Razer Blade 14 soll die Stärken des Urmodells mit der Performance aktueller Hardware vereinen - mit Erfolg.
    Ein Test von Marc Sauter

TheUnichi 24. Feb 2020

Du meinst den Markt, den sie selbst geschaffen haben? WordPress war der Beginn von Blog...

Helga Beimer 18. Feb 2020

Heute vormittag konnte ich endlich mal auch das Restore Konzept in Produktion meiner...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport mit bis zu -70% • MSI Optix G32CQ4DE 335,99€ • XXL-Sale bei Alternate • Creative SB Z 69,99€ • SanDisk microSDXC 400 GB 39€ • Battlefield 4 Premium PC Code 7,49€ • Prime-Filme leihen für je 0,99€ • GP Anniversary Sale - Teil 4: Indie & Arcade • Saturn Weekend Deals [Werbung]
    •  /