LONDON (IT BOLTWISE) – Eine kritische Sicherheitslücke in einem beliebten WordPress-Plugin hat potenziell über 100.000 Websites weltweit gefährdet. Diese Schwachstelle könnte es Angreifern ermöglichen, die vollständige Kontrolle über betroffene Websites zu erlangen.
Eine kürzlich entdeckte Sicherheitslücke im TI WooCommerce Wishlist Plugin für WordPress hat die Aufmerksamkeit der IT-Sicherheitsgemeinschaft auf sich gezogen. Diese Schwachstelle betrifft alle Versionen des Plugins bis einschließlich Version 2.9.2, die am 29. November 2024 veröffentlicht wurde. Die Lücke ermöglicht es unautorisierten Nutzern, beliebige Dateien auf den Server hochzuladen, was im schlimmsten Fall zur vollständigen Kontrolle über die betroffene Website führen kann.
Der Sicherheitsforscher John Castro von Patchstack hat die Schwachstelle eingehend analysiert. Der Kern des Problems liegt in der Funktion tinvwl_upload_file_wc_fields_factory, die die native WordPress-Funktion wp_handle_upload nutzt. Allerdings verändert das Plugin die Sicherheitsparameter test_form und test_type auf false, wodurch die Überprüfung des Dateityps effektiv deaktiviert wird und bösartige Inhalte ungehindert hochgeladen werden können.
Es gibt jedoch eine Einschränkung: Die genannte Funktion ist nur aktiv, wenn das WC Fields Factory Plugin auf der Website installiert und aktiviert ist. Dies bedeutet, dass die Schwachstelle nur in einem bestimmten Szenario ausgenutzt werden kann, nämlich wenn beide Plugins zusammenarbeiten. Bei einem erfolgreichen Angriff könnte ein Angreifer eine schädliche PHP-Datei auf die Website hochladen und diese aus der Ferne ausführen, um die volle Kontrolle über die Webressource zu erlangen.
Entwickler von Plugins wird geraten, die Überprüfung des Dateityps (test_type) nicht zu deaktivieren, wenn sie wp_handle_upload verwenden. Bis ein Update veröffentlicht wird, sollten Nutzer das TI WooCommerce Wishlist Plugin sofort deaktivieren und von ihren Websites entfernen, um das Risiko eines Angriffs zu minimieren.
Diese Sicherheitslücke erinnert an die Bedeutung regelmäßiger Updates und Sicherheitsüberprüfungen von Plugins und Themes, die auf Websites eingesetzt werden. In der Vergangenheit gab es bereits ähnliche Vorfälle, bei denen Sicherheitslücken in beliebten Plugins ausgenutzt wurden, um Websites zu kompromittieren.
Die Entwicklergemeinschaft ist nun gefordert, schnell zu reagieren und die notwendigen Sicherheitsupdates bereitzustellen, um die betroffenen Websites zu schützen. Gleichzeitig sollten Website-Betreiber wachsam bleiben und sicherstellen, dass ihre Systeme stets auf dem neuesten Stand sind, um potenzielle Sicherheitsrisiken zu minimieren.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Product Manager (w/m/d) - AI Transformation
AI Solution Engineer*
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
Werkstudent*in Big Data & AI
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Sicherheitslücke in WordPress-Plugin gefährdet über 100.000 Websites" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Sicherheitslücke in WordPress-Plugin gefährdet über 100.000 Websites" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Sicherheitslücke in WordPress-Plugin gefährdet über 100.000 Websites« bei Google Deutschland suchen, bei Bing oder Google News!