Alert!

Kritische Lücke in WordPress-Erweiterung trifft 700.000 Sites

Angreifer könnten etwa eigene PHP-Dateien installieren und damit den Server kapern.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 18 Beiträge

(Bild: serato/shutterstock.com)

Von
  • Jürgen Schmidt

Die beliebten Themes Divi und Extra von Elegant Themes sowie deren Divi Builder enthielten kritische Sicherheitslücken. Wenige Tage nachdem das Team von Wordfence diese entdeckt und gemeldet hat, stellt der Anbieter Updates bereit, die das Problem beseitigen. Betreiber von WordPress-Sites, die die Plugins nutzen, sollten diese zügig installieren, da mit flächendeckenden Angriffen zu rechnen ist.

Das Problem liegt in einer mangelhaften Dateityp-Prüfung der Upload-Funktion und führt dazu, dass bösartige Benutzer beliebige Dateien hochladen können – also etwa PHP-Dateien mit einer Webshell. Der Angreifer benötigt dazu allerdings bereits einen Zugang zur Site, etwa als registrierter Benutzer. Wordfence beschreibt in seinem Advisory die Ursachen des Problems genauer.

Akut betroffen sind laut Elegant Themes alle Web-Sites, die Divi ab Version 3.0, Extra ab 2.0 und Divi Builder ab 2.0 einsetzen. Erst die Versionen 4.5.3 beseitigen das Problem. Das Upgrade sollte über das WordPress Dashboard möglich sein. Temporär könne man sich auch mit Hilfe des Security Patcher Plugins behelfen, das die Lücke auch ohne Update beseitigen soll, erklärt Elegant Themes. Außerdem stelle man die Updates auch für Kunden mit abgelaufenen Lizenzen bereit.

(ju)