• IT-Karriere:
  • Services:

Sicherheitslücke: Wordpress-Plugin Themegrill löscht Datenbank

Ein Wordpress-Plugin hat eine Funktion, mit der man die komplette Datenbank neu aufsetzen kann. Das Problem dabei: Diese Funktion lässt sich auch ohne Authentifizierung erreichen - und ermöglicht in manchen Fällen ein Übernehmen des Wordpress-Systems.

Artikel veröffentlicht am ,
Und plötzlich sind alle Daten weg: Ein Wordpress-Plugin der Firma Themegrill hat eine gefährliche Sicherheitslücke.
Und plötzlich sind alle Daten weg: Ein Wordpress-Plugin der Firma Themegrill hat eine gefährliche Sicherheitslücke. (Bild: Heiko Tobien/Wikimedia Commons/CC-BY-SA 4.0)

Die IT-Sicherheitsfirma WebARX warnt vor einer gefährlichen Sicherheitslücke in einem Wordpress-Plugin. Das Plugin Themegrill Demo Importer kann demnach die komplette Datenbank einer Wordpress-Installation löschen. Wenn zudem noch ein Nutzer mit dem Benutzernamen "admin" existiert, kann man die Lücke auch nutzen, um die Wordpress-Installation zu übernehmen und Code auszuführen.

Stellenmarkt
  1. Concordia Versicherungsgesellschaft a.G., Hannover
  2. operational services GmbH & Co. KG, Frankfurt am Main

Das Plugin von Themegrill, einer Firma, die Wordpress-Themes verkauft, dient dazu, Wordpress-Seiten mit Beispielinhalten zu füllen, um die Funktionalität der Themes zu testen. Das Theme installiert dabei eine Hooking-Funktion, die die Möglichkeit bietet, die komplette Datenbank von Wordpress neu aufzusetzen.

Jeder kann Datenbank löschen

Diese Funktion wird aktiviert, wenn eine bestimmte GET-Variable in der URL gesetzt ist und kann beispielsweise über das Ajax-Interface von Wordpress erreicht werden. Das Problem: Das funktioniert auch für nicht angemeldete Benutzer. Ein Angreifer kann also einfach die Datenbank eines Wordpress-Systems löschen, alle bisher erstellten Inhalte sind dann weg.

Die Funktion sorgt außerdem dafür, dass ein eventuell vorhandener Account mit dem Benutzernamen "admin" nach dem Resetten der Datenbank erneut angelegt wird und der Nutzer, der die Aktion ausführt, damit eingeloggt wird. Sprich: Wenn ein solcher Account existiert, kann man die Sicherheitslücke auch nutzen, um anschließend die komplette Wordpress-Installation zu kontrollieren. Über die Installation von Plugins kann man damit auch Code ausführen.

Angreifer suchen bereits nach verwundbaren Installationen, ich habe beispielsweise in den Logs meiner privaten Webseite entsprechende Anfragen gefunden. Themegrill hat inzwischen ein Update bereitgestellt, in Version 1.6.3 wird geprüft, ob die Aktion von einem angemeldeten Nutzer ausgeführt wird. Wer das Plugin einsetzt, sollte also entweder schnellstmöglich aktualisieren oder das Plugin komplett entfernen.

Generell gilt: Da das Core-System von Wordpress inzwischen vergleichsweise sicher ist, geht das größte Sicherheitsrisiko von Plugins aus. Daher sollte man grundsätzlich so wenige Plugins wie möglich installieren und nicht mehr benötigte Plugins löschen.

Nachtrag vom 18. Februar 2020, 11:34 Uhr

Inzwischen werden Angriffe auf die Sicherheitslücke durchgeführt. Einige Webseiten, die das Plugin nutzen, haben inzwischen keine Inhalte mehr und zeigen nur noch das Beispielpost ("Hello World!"), das bei einer Wordpress-Neuinstallation angelegt wird.

Nachtrag vom 19. Februar 2020, 9:03 Uhr

Der ursprüngliche Fix für die Sicherheitslücke war unvollständig. Es war weiterhin möglich, die Sicherheitslücke durch einen Cross-Site-Request-Forgery-Angriff auszunutzen. Wer bisher nur auf die Version 1.6.2 aktualisiert hat, sollte ein weiteres Update durchführen und Version 1.6.3 installieren oder, falls nicht mehr benötigt, das Plugin ganz entfernen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 8,50€
  2. 41,99€

TheUnichi 24. Feb 2020

Du meinst den Markt, den sie selbst geschaffen haben? WordPress war der Beginn von Blog...

Helga Beimer 18. Feb 2020

Heute vormittag konnte ich endlich mal auch das Restore Konzept in Produktion meiner...


Folgen Sie uns
       


Xbox Series X - Hands on

Golem.de konnte die Xbox Series X bereits ausprobieren und stellt die Konsole vor. Außerdem zeigen wir, wie Quick Resume funktioniert - und die Ladezeiten.

Xbox Series X - Hands on Video aufrufen
    •  /