• IT-Karriere:
  • Services:

Sicherheitslücke: Wordpress-Plugin Themegrill löscht Datenbank

Ein Wordpress-Plugin hat eine Funktion, mit der man die komplette Datenbank neu aufsetzen kann. Das Problem dabei: Diese Funktion lässt sich auch ohne Authentifizierung erreichen - und ermöglicht in manchen Fällen ein Übernehmen des Wordpress-Systems.

Artikel veröffentlicht am ,
Und plötzlich sind alle Daten weg: Ein Wordpress-Plugin der Firma Themegrill hat eine gefährliche Sicherheitslücke.
Und plötzlich sind alle Daten weg: Ein Wordpress-Plugin der Firma Themegrill hat eine gefährliche Sicherheitslücke. (Bild: Heiko Tobien/Wikimedia Commons/CC-BY-SA 4.0)

Die IT-Sicherheitsfirma WebARX warnt vor einer gefährlichen Sicherheitslücke in einem Wordpress-Plugin. Das Plugin Themegrill Demo Importer kann demnach die komplette Datenbank einer Wordpress-Installation löschen. Wenn zudem noch ein Nutzer mit dem Benutzernamen "admin" existiert, kann man die Lücke auch nutzen, um die Wordpress-Installation zu übernehmen und Code auszuführen.

Stellenmarkt
  1. Interhyp Gruppe, München
  2. sunzinet, Köln, Paderborn

Das Plugin von Themegrill, einer Firma, die Wordpress-Themes verkauft, dient dazu, Wordpress-Seiten mit Beispielinhalten zu füllen, um die Funktionalität der Themes zu testen. Das Theme installiert dabei eine Hooking-Funktion, die die Möglichkeit bietet, die komplette Datenbank von Wordpress neu aufzusetzen.

Jeder kann Datenbank löschen

Diese Funktion wird aktiviert, wenn eine bestimmte GET-Variable in der URL gesetzt ist und kann beispielsweise über das Ajax-Interface von Wordpress erreicht werden. Das Problem: Das funktioniert auch für nicht angemeldete Benutzer. Ein Angreifer kann also einfach die Datenbank eines Wordpress-Systems löschen, alle bisher erstellten Inhalte sind dann weg.

Die Funktion sorgt außerdem dafür, dass ein eventuell vorhandener Account mit dem Benutzernamen "admin" nach dem Resetten der Datenbank erneut angelegt wird und der Nutzer, der die Aktion ausführt, damit eingeloggt wird. Sprich: Wenn ein solcher Account existiert, kann man die Sicherheitslücke auch nutzen, um anschließend die komplette Wordpress-Installation zu kontrollieren. Über die Installation von Plugins kann man damit auch Code ausführen.

Angreifer suchen bereits nach verwundbaren Installationen, ich habe beispielsweise in den Logs meiner privaten Webseite entsprechende Anfragen gefunden. Themegrill hat inzwischen ein Update bereitgestellt, in Version 1.6.3 wird geprüft, ob die Aktion von einem angemeldeten Nutzer ausgeführt wird. Wer das Plugin einsetzt, sollte also entweder schnellstmöglich aktualisieren oder das Plugin komplett entfernen.

Generell gilt: Da das Core-System von Wordpress inzwischen vergleichsweise sicher ist, geht das größte Sicherheitsrisiko von Plugins aus. Daher sollte man grundsätzlich so wenige Plugins wie möglich installieren und nicht mehr benötigte Plugins löschen.

Nachtrag vom 18. Februar 2020, 11:34 Uhr

Inzwischen werden Angriffe auf die Sicherheitslücke durchgeführt. Einige Webseiten, die das Plugin nutzen, haben inzwischen keine Inhalte mehr und zeigen nur noch das Beispielpost ("Hello World!"), das bei einer Wordpress-Neuinstallation angelegt wird.

Nachtrag vom 19. Februar 2020, 9:03 Uhr

Der ursprüngliche Fix für die Sicherheitslücke war unvollständig. Es war weiterhin möglich, die Sicherheitslücke durch einen Cross-Site-Request-Forgery-Angriff auszunutzen. Wer bisher nur auf die Version 1.6.2 aktualisiert hat, sollte ein weiteres Update durchführen und Version 1.6.3 installieren oder, falls nicht mehr benötigt, das Plugin ganz entfernen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-62%) 18,99€
  2. 48,99€
  3. (-62%) 5,70€
  4. (u. a. FIFA 20 für 27,99€, Dragon Ball Z Kakarot für 46,89€, Rainbow Six: Siege Deluxe für 8...

TheUnichi 24. Feb 2020 / Themenstart

Du meinst den Markt, den sie selbst geschaffen haben? WordPress war der Beginn von Blog...

Helga Beimer 18. Feb 2020 / Themenstart

Heute vormittag konnte ich endlich mal auch das Restore Konzept in Produktion meiner...

Kommentieren


Folgen Sie uns
       


Projekt Mare - DLR

Helga und Zohar sind zwei anthropomorphe Phantome, ihre Körper simulieren die Struktur des menschlichen Gewebes. DLR-Forscher wollen messen, wie sich die Strahlung auf den Körper auswirkt.

Projekt Mare - DLR Video aufrufen
Alternatives Android im Test: /e/ will Google ersetzen
Alternatives Android im Test
/e/ will Google ersetzen

Wie Google, nur mit Privatsphäre - /e/ verbindet ein alternatives Android mit Cloudfunktionen und einer Suchmaschine.
Ein Test von Moritz Tremmel


    Bodyhacking: Prothese statt Drehregler
    Bodyhacking
    Prothese statt Drehregler

    Bertolt Meyer hat seine Handprothese mit einem Synthesizer verbunden - das Youtube-Video dazu hat viele interessiert. Wie haben mit dem Psychologieprofessor über sein Projekt und die Folgen des Videos gesprochen.
    Ein Interview von Tobias Költzsch


      Star Trek - Der Film: Immer Ärger mit Roddenberry
      Star Trek - Der Film
      Immer Ärger mit Roddenberry

      Verworfene Drehbücher, unzufriedene Paramount-Chefs und ein zögerlicher Spock: Dass der erste Star-Trek-Film vor 40 Jahren schließlich doch in die Kinos kam, grenzt an ein Wunder. Dass er schön aussieht, noch mehr.
      Von Peter Osteried

      1. Machine Learning Fan überarbeitet Star Trek Voyager in 4K
      2. Star Trek - Picard Hasenpizza mit Jean-Luc
      3. Star Trek Voyager Starke Frauen und schwache Gegner

        •  /