X

700.000 Seiten betroffen: WordPress hat kritisches Sicherheits-Problem

Die weite Verbreitung von WordPress macht Sicherheitslücken besonders gravierend. Jetzt wurde bekannt, dass zwei beliebte Themes und eine Erweiterung mit kritischen Sicherheitslücken ausgeliefert wurden. 700.000 Seiten sollen betroffen sein.
Wordpress
07.08.2020  15:51 Uhr

700.000 Wordpress-Seiten sind von einer groben Lücke betroffen

Erst vor wenigen Tagen mussten Nutzer des beliebten WordPress-Plugin wpDiscuz über ein Sicherheitsproblem informiert werden - 80.000 Seiten waren betroffen. Nur wenige Tage später gibt es jetzt Meldungen zu einer deutlich weiter verbreiteten Sicherheitslücke. Wie Wordfence vermeldet, klaffen in rund 700.000 Webseiten Sicherheitslücken wegen fehler­hafter Themes und Erweiterungen.
Das passiert in einer Minute im Internet
Infografik: Das passiert in einer Minute im Internet

"Am 23. Juli 2020 entdeckte unser Threat Intelligence-Team eine Schwachstelle, die in zwei Themen von Elegant Themes, Divi und Extra, sowie in Divi Builder, einem WordPress-Plugin, vorhanden war", so die Sicherheitsexperten. Der Entwickler Elegant Themes wurde demnach umgehend informiert und konnte am 3. August mit Version 4.5.3 für alle Produkte einen entsprechenden Patch bereitstellen.

Die Sicherheitslücke wird als kritisch eingestuft, Nutzer der entsprechenden Themes und Plugins sollten also auf jeden Fall so schnell wie mög­lich das bereitgestellte Update installieren. "Wenn Sie noch nicht aktualisiert haben und Divi-Versionen 3.0 und höher, Extra-Versionen 2.0 und höher oder Divi Builder-Versionen 2.0 und höher ausführen, empfehlen wir dringend, sofort auf die gepatchte Version 4.5.3 zu aktualisieren", so Wordfence.

Fehler betrifft PHP-Upload

Wie die Analyse der Experten zeigt, fußt das Problem auf dem Divi Builder, der neben einer Standalone-Version eben auch in die betroffenen Themes integriert ist. Dieses Plugin erlaubt es allen Nutzern, die auf den Seiten die Rechte haben, Einträge anzulegen, Template-Dateien zu importieren und exportieren. Der Fehler machte es wiederum möglich, eine clientseitige JavaScript-Prüfung zu umgehen und so bösartige Dateien hochzuladen - Wordfence liefert hier eine genaue Aufschlüsselung des Vorgangs.

☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture