Das Wordpress-Plug-in Essentials Addon for Elementor kommt auf mehr als eine Million Installationen. IT-Forscher haben eine kritische Sicherheitslücke darin entdeckt, die nicht angemeldeten Angreifern aus dem Netz das vollständige Kompromittieren einer Wordpress-Instanz ermöglicht. Eine aktualisierte Fassung des Plug-in ist verfügbar.

Auf der Webseite zum Plug-in steht inzwischen die Version 5.7.2 bereit, die Essential Addons for Elementor-Nutzer zügig installieren sollten. Die Sicherheitslücke erlaubt die Ausweitung der Rechte am System, ohne vorherige Authentifizierung (CVE-2023-32243, CVSS 9.8, Risiko "kritisch"). Sie findet sich in den Plug-in-Versionen ab 5.4.0 bis einschließlich 5.7.1.

Kritische Lücke in Essential Addons for Elementor

In ihrer Analyse erklären die IT-Forscher von Patchstack, dass dieses Plug-in eine Sicherheitslücke aufweist, die es jedem nicht authentifizierten Benutzer ermöglicht, die eigenen Rechte auf die eines beliebigen Benutzers der WordPress-Website auszuweiten.

Es sei demnach möglich, das Kennwort eines beliebigen Benutzers zurückzusetzen, solange dessen Benutzernamen bekannt ist. Angreifer können das Kennwort des Administrators zurücksetzen und sich in dessen Konto einloggen. Die Schwachstelle trete auf, weil die Funktion zum Zurücksetzen des Kennworts keinen zugehörigen Schlüssel validiere und stattdessen direkt das Kennwort des betreffenden Benutzers ändere, führen die Patchstack-Mitarbeiter weiter aus.

In der Analyse gehen die IT-Forscher in die Details und erörtern die Schwachstelle mitsamt Codeschnippseln. Die Entwickler des Plug-ins haben innerhalb von drei Tagen die Lücke abgedichtet: Am Montag hätten die Forscher sie gemeldet, am Donnerstag stand das aktualisierte Plug-in bereit. IT-Verantwortliche mit einer verwundbaren Wordpress-Installation sollten das Update zügig installieren.

Anfang April wurde eine als hochriskant eingestufte Sicherheitslücke im Wordpress-Plug-in Elementor Pro aktiv von Angreifern missbraucht. Diese hatten sich dadurch administrativen Zugang zu Wordpress-Webseiten verschafft.

