Sicherheitslücke: Wordpress-Plugin Themegrill löscht Datenbank

Ein Wordpress-Plugin hat eine Funktion, mit der man die komplette Datenbank neu aufsetzen kann. Das Problem dabei: Diese Funktion lässt sich auch ohne Authentifizierung erreichen - und ermöglicht in manchen Fällen ein Übernehmen des Wordpress-Systems.

Artikel veröffentlicht am ,
Und plötzlich sind alle Daten weg: Ein Wordpress-Plugin der Firma Themegrill hat eine gefährliche Sicherheitslücke.
Und plötzlich sind alle Daten weg: Ein Wordpress-Plugin der Firma Themegrill hat eine gefährliche Sicherheitslücke. (Bild: Heiko Tobien/Wikimedia Commons/CC-BY-SA 4.0)

Die IT-Sicherheitsfirma WebARX warnt vor einer gefährlichen Sicherheitslücke in einem Wordpress-Plugin. Das Plugin Themegrill Demo Importer kann demnach die komplette Datenbank einer Wordpress-Installation löschen. Wenn zudem noch ein Nutzer mit dem Benutzernamen "admin" existiert, kann man die Lücke auch nutzen, um die Wordpress-Installation zu übernehmen und Code auszuführen.

Stellenmarkt
  1. Software Developer (w/m/d)
    Intrum Hanseatische Inkasso-Treuhand GmbH, Hamburg
  2. Softwareentwickler (w/m/d) Java
    SSI SCHÄFER IT Solutions GmbH, Giebelstadt, Bremen
Detailsuche

Das Plugin von Themegrill, einer Firma, die Wordpress-Themes verkauft, dient dazu, Wordpress-Seiten mit Beispielinhalten zu füllen, um die Funktionalität der Themes zu testen. Das Theme installiert dabei eine Hooking-Funktion, die die Möglichkeit bietet, die komplette Datenbank von Wordpress neu aufzusetzen.

Jeder kann Datenbank löschen

Diese Funktion wird aktiviert, wenn eine bestimmte GET-Variable in der URL gesetzt ist und kann beispielsweise über das Ajax-Interface von Wordpress erreicht werden. Das Problem: Das funktioniert auch für nicht angemeldete Benutzer. Ein Angreifer kann also einfach die Datenbank eines Wordpress-Systems löschen, alle bisher erstellten Inhalte sind dann weg.

Die Funktion sorgt außerdem dafür, dass ein eventuell vorhandener Account mit dem Benutzernamen "admin" nach dem Resetten der Datenbank erneut angelegt wird und der Nutzer, der die Aktion ausführt, damit eingeloggt wird. Sprich: Wenn ein solcher Account existiert, kann man die Sicherheitslücke auch nutzen, um anschließend die komplette Wordpress-Installation zu kontrollieren. Über die Installation von Plugins kann man damit auch Code ausführen.

Golem Akademie
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    09./10.06.2022, virtuell
  2. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    18.-20.07.2022, Virtuell
Weitere IT-Trainings

Angreifer suchen bereits nach verwundbaren Installationen, ich habe beispielsweise in den Logs meiner privaten Webseite entsprechende Anfragen gefunden. Themegrill hat inzwischen ein Update bereitgestellt, in Version 1.6.3 wird geprüft, ob die Aktion von einem angemeldeten Nutzer ausgeführt wird. Wer das Plugin einsetzt, sollte also entweder schnellstmöglich aktualisieren oder das Plugin komplett entfernen.

Generell gilt: Da das Core-System von Wordpress inzwischen vergleichsweise sicher ist, geht das größte Sicherheitsrisiko von Plugins aus. Daher sollte man grundsätzlich so wenige Plugins wie möglich installieren und nicht mehr benötigte Plugins löschen.

Nachtrag vom 18. Februar 2020, 11:34 Uhr

Inzwischen werden Angriffe auf die Sicherheitslücke durchgeführt. Einige Webseiten, die das Plugin nutzen, haben inzwischen keine Inhalte mehr und zeigen nur noch das Beispielpost ("Hello World!"), das bei einer Wordpress-Neuinstallation angelegt wird.

Nachtrag vom 19. Februar 2020, 9:03 Uhr

Der ursprüngliche Fix für die Sicherheitslücke war unvollständig. Es war weiterhin möglich, die Sicherheitslücke durch einen Cross-Site-Request-Forgery-Angriff auszunutzen. Wer bisher nur auf die Version 1.6.2 aktualisiert hat, sollte ein weiteres Update durchführen und Version 1.6.3 installieren oder, falls nicht mehr benötigt, das Plugin ganz entfernen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


TheUnichi 24. Feb 2020

Du meinst den Markt, den sie selbst geschaffen haben? WordPress war der Beginn von Blog...

Helga Beimer 18. Feb 2020

Heute vormittag konnte ich endlich mal auch das Restore Konzept in Produktion meiner...



Aktuell auf der Startseite von Golem.de
Strange New Worlds Folge 1 bis 3
Star Trek - The Latest Generation

Strange New Worlds kehrt zu episodenhaften Geschichten zurück und will damit Star-Trek-Fans alter Schule abholen. Das gelingt mit Bravour. Achtung, Spoiler!
Eine Rezension von Oliver Nickel

Strange New Worlds Folge 1 bis 3: Star Trek - The Latest Generation
Artikel
  1. LTE-Patent: Ford droht Verkaufs- und Produktionsverbot in Deutschland
    LTE-Patent
    Ford droht Verkaufs- und Produktionsverbot in Deutschland

    Ford fehlen Mobilfunk-Patentlizenzen, weshalb das Landgericht München eine drastische Entscheidung gefällt hat. Autos droht sogar die Vernichtung.

  2. Flowcamper: Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt
    Flowcamper
    Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt

    Das elektrische Wohnmobil Frieda Volt basiert auf einem umgebauten Volkswagen T5 oder T6 und ist mit einem 72-kWh-Akku ausgerüstet.

  3. Katastrophenschutz: Cell Broadcast funktioniert nur auf jedem fünften Handy
    Katastrophenschutz
    Cell Broadcast funktioniert nur auf jedem fünften Handy

    Der bundesweite Test zur Versendung von Warn-SMS soll verschoben werden. Zu wenig Geräte können die Technik bislang einsetzen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 614€ • Crucial P5 Plus 2 TB 229,99€ • Preis-Tipp: Kingston NV1 2 TB 129,90€ • AVM FRITZ!Repeater 1200 AX 69€ • MindStar (u. a. Palit RTX 3050 339€) • MMOGA (u. a. Total War Warhammer 3 29,49€) [Werbung]
    •  /