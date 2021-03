Das Team von Wordfence, einem Sicherheits-Plugin für WordPress, hat in einem Blogeintrag auf eine kritische Sicherheitslücke in der kostenpflichtigen Version von "The Plus Addons for Elementor" hingewiesen. Dabei handelt es sich um ein Plugin, das Widgets, Templates und Tools für den WordPress Website Builder Elementor in sich vereint.

Besagte Sicherheitslücke wird offenbar mindestens seit vergangener Woche aktiv angegriffen; Nutzer sollten jetzt auf die neueste, am gestrigen Dienstag erschienene Version updaten.

Version 4.1.7 abgesichert, "Lite"-Variante nicht betroffen

Das Premium-Plugin "The Plus Addons for Elementor" findet nach Schätzungen des Wordfence-Teams in über 30.000 WordPress-Installationen Verwendung. Die neue Version 4.1.7 ist gegen die Sicherheitslücke mit der CVE-ID 2021-24175 (CVSS-Score 9.8) abgesichert, alle früheren sind verwundbar. Das gilt auch für Version 4.1.6, die ebenfalls erst gestern veröffentlicht wurde, bevor die Plugin-Entwickler später noch einmal nachlegten. In einem eigenen Blogeintrag raten sie dringend zum Update auf Version 4.1.7.

Von CVE-ID 2021-24175 laut Wordfence wohl nicht betroffen ist die Gratis-Variante des Plugins, "The Plus Addons for Elementor Page Builder Lite". Sie benötigt dementsprechend auch keine Aktualisierung.

Aktive Exploits – Übernahme der WP-Installation möglich

Einem Eintrag zu CVE-ID 2021-24175 in der Schwachstellen-Datenbank WPScan zufolge wird das Plugin mindestens seit dem 5. März aktiv angegriffen. Die Schwachstelle ermöglicht das Umgehen von Authentifizierungsmechanismen aus der Ferne: Angreifer ohne jegliche Zugangsdaten könnten sie demnach missbrauchen, um sich als beliebiger Nutzer (auch als Admin) anzumelden oder um neue (Admin-)Accounts anzulegen, sofern diese Funktion aktiviert ist.

Proof-of-Concept-Code soll am 31. März 2021 bei WPScan veröffentlicht werden – ein Grund mehr, jetzt auf "The Plus Addons for Elementor" in Version 4.1.7 umzusteigen.

(ovw)