DSGVO: Sicherheitslücke in Wordpress-Addon ermöglicht Admin-Rechte

Durch eine fehlende Identitätsabfrage in einem DSGVO-Plugin für Wordpress können sich Angreifer Administratorkonten für Webseiten anlegen und dann beliebige Schadsoftware verteilen. Die Lücke wird bereits ausgenutzt.

Artikel veröffentlicht am ,
Ein Patch für das Wordpress-Addon sollte schnell geladen werden.
Ein Patch für das Wordpress-Addon sollte schnell geladen werden. (Bild: Pixabay.com/Montage: Golem.de/CC0 1.0)

Security-Analysten haben im DSGVO-Plugin WP GDPR Compliance für das Content-Management-System Wordpress eine gravierende Sicherheitslücke entdeckt. Angreifer konnten darüber eigene Konten mit Administratorrechten erstellen, um diverse Schadsoftware auf infizierten Seiten zu installieren. Das berichtet der Blog des Security-Unternehmens Wordfence. Die Lücke betrifft Versionen 1.4.2 und älter. Ein Patch, der das Problem beheben soll, wird bereits verteilt. Die mehr als 100.000 Downloads machen klar, dass viele Webseitenbetreiber davon betroffen waren. Es wird empfohlen, den Patch so schnell wie möglich zu installieren, da Wordfence bereits einige so infizierte Seiten ausmachen konnte.

Das Problem liegt in der Case-Auswahl mit Namen save_setting. Die Aktion prüft nicht nach, ob die ausführende Instanz die notwendigen Rechte zum Eingeben von Werten besitzt. So können Angreifer beliebige Eingaben in der Options-Tabelle einer betroffenen Webseite eintragen. Nach dem Ausführen der Methode update_option führt die Aktion zudem mit diesen Parametern beliebige Wordpress-Aktionen mit do_action($option, $value) aus.

  • Die Schwachstelle liegt im dieser Fallauswahl (Bild: Wordfence)
Die Schwachstelle liegt im dieser Fallauswahl (Bild: Wordfence)

Bereits ausgenutzte Sicherheitslücke

Die beiden Methoden werden als jeweils eigenständige Sicherheitslücken identifiziert, führen aber zusammen zum gleichen Ergebnis: Einige Angreifer konnten sich so bereits eigene Konten mit erhöhten Rechten erstellen, indem sie die Standardrolle für neu angelegte Nutzerkonten auf Administrator setzen und die Erstellung neuer Konten auf der Webseite erlauben.

Die Verfasser des Artikels auf Wordfence konnten so beispielsweise Administratorkonten mit Namen wie t2trollherten entdecken. Diese Konten haben dann böswilligen PHP-Code mit der Bezeichnung wp-cache.php hochgeladen. Es ist nicht klar, wie sich diese Anwendungen verhalten. Allerdings ist mit Administratorrechten theoretisch viel möglich - etwa das Abgreifen von Zahlungsdaten, Passwörtern oder von personenbezogenen Daten, die in eine infizierte Datenbank hochgeladen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Quellcode auf Github
MS-DOS 4.00 ist jetzt Open Source

Nachdem der ehemalige CTO eine alte MS-DOS-Floppy entdeckt hat, veröffentlicht Microsoft ein Stück Betriebssystem-Geschichte.

Quellcode auf Github: MS-DOS 4.00 ist jetzt Open Source
Artikel
  1. Abstürze mit Intel-CPUs: Weitere Mainboards mit Intel-Baseline-Profil
    Abstürze mit Intel-CPUs
    Weitere Mainboards mit Intel-Baseline-Profil

    Während Intel den Fehlerberichten bei Core-i9-Prozessoren nachgeht, veröffentlichen die Mainboardhersteller reihenweise Bios-Updates.

  2. Startrampe Set: Lego bietet Milchstraße und Nasa-Rakete Artemis als Bausatz
    Startrampe Set
    Lego bietet Milchstraße und Nasa-Rakete Artemis als Bausatz

    Lego hat zwei neue Sets vorgestellt, die für Weltraumenthusiasten gedacht sind: das Nasa-Artemis-Startrampen-Set und das Milchstraßen-Galaxie-Set.

  3. The Beekeeper: Ein Mann gegen die Ransomware-Industrie
    The Beekeeper
    Ein Mann gegen die Ransomware-Industrie

    Normalerweise gibt es kaum einen Grund, sich eines Actionfilms mit Jason Statham anzunehmen. The Beekeeper ist aber eine Ausnahme.
    Eine Rezension von Peter Osteried

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus OLED-Monitor zum Tiefstpreis • Gigabyte GeForce RTX 4070 Ti im Sale • MediaMarkt: Asus Gaming-Laptop 999€ statt 1.599€ • Gamesplanet Spring Sale [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /