Alert!

Lücken in Gutenberg-Template-Plug-in gefährden eine Million WordPress-Websites

Angreifer könnten WordPress-Websites mit dem Plug-in Gutenberg Template Library & Redux Framework attackieren. Ein Sicherheitspatch steht zum Download.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 6 Beiträge

(Bild: serato/shutterstock.com)

Von
  • Dennis Schirrmacher

Aufgrund von zwei Sicherheitslücken im WordPress-Plug-in Gutenberg Template Library & Redux Framework sind unzählige Websites verwundbar. Nach erfolgreichen Attacken könnten Angreifer etwa mit Schadcode versehene Plug-ins installieren oder Posts löschen.

Der offiziellen WordPress-Plug-in-Website zufolge weist die Software über eine Million aktive Installationen auf. Damit kann man unter anderem Templates für Website-Designs verwalten und anwenden. Admins sollten sicherstellen, dass sie die Version 4.2.13 installiert haben. Die Entwickler geben an, darin die beiden Sicherheitslücken (CVE-2021-38312, "hoch", CVE-2021-38314, "mittel") geschlossen zu haben.

Aufgrund nicht ausreichender Prüfungen in der WordPress REST API könnte ein als Autor registrierter Angreifer beliebige Plug-ins aus dem WordPress-Repository installieren. Wenn er dort mit Schadcode präparierte Software hochlädt, könnte das nach der Installation die Übernahme einer Website einleiten.

Durch das erfolgreiche Ausnutzen der zweiten Lücke könnte ein Angreifer auf eigentlich abgeschottete Konfigurationsinformationen von Websites zugreifen. Die Entdecker der Lücken von Wordfence geben in einem Beitrag an, dass die Plug-in-Entwickler innerhalb von knapp einer Woche einen Sicherheitspatch veröffentlicht haben.

(des)