Forscher haben auf Sicherheitslücken in drei Plugins für WordPress hingewiesen, die in insgesamt rund 160.000 Installationen des Content Management Systems zum Einsatz kommen. Wer Advanced Access Manager, Discount Rules for WooCommerce oder den Quiz and Survey Master nutzt, sollte sicherstellen, dass er die aktuelle Version verwendet.

Die Lücken könnten unter anderem für den unbefugten Upload von Dateien, Rechtausweitung sowie Codeausführung aus der Ferne (Remote Code Execution) missbraucht werden.

Rechteausweitung in Advanced Access Manager

Mit der Einstufung "High" und dem CVSS-Score 7.5 von möglichen 10 wurde eine Sicherheitslücke in Advanced Access Manager (AAM) vor Version 6.6.2 versehen. Eine CVE-Nummer wurde noch nicht vergeben.

Der von über 100.000 WP-Nutzern verwendete Advanced Access Manager bietet detailreiche Einstellungsmöglichkeiten für Zugriffsrechte. Mittels einer speziell präparierten POST-Anfrage an wp-admin/profile.php ist es in verwundbaren Versionen bei aktiviertem "Multiple Roles"-Feature möglich, bestehende niedrige Zugriffsrechte auszuweiten – bis hin zur vollständigen Übernahme der betreffenden WordPress-Website.

Technische Details sind einem Blogeintrag des Wordfence-Teams zur AAM-Lücke zu entnehmen. AM in Version 6.6.2, verfügbar auf wordpress.org, beseitigt die Angriffsmöglichkeit.

Unbefugter Datei-Upload in Quiz and Survey Master

Rund 30.000 WordPress-Nutzer verwenden den "Quiz and Survey Master" zum Erstellen von Quizzen und Umfragen. In diesem Plugin entdeckte das Wordfence-Team ebenfalls eine Sicherheitslücke, die bereits am 13. August in einem Blogeintrag thematisiert wurde. Wer noch immer eine Quiz and Survey Master-Version bis einschließlich 7.0.0 nutzt, sollte das Update jetzt zügig nachholen – denn in diesen Versionen steckt eine kritische Lücke (CVSS-Score 10.0), die auf fehlenden Kontrollmechanismen fußt.

Statt die Upload-Funktion des Plugins etwa zum Hochladen ausgefüllter Fragebögen zu nutzen, könnten unauthentifizierte Angreifer (z.B. PHP-)Schadcode übermitteln und zur Ausführung bringen. Versionen ab 7.0.1 aufwärts beseitigen dieses Sicherheitsproblem; aktuell ist derzeit Version 7.02.

RCE in Discount Rules for WooCommerce

Auch das Plugin "Discount Rules for WooCommerce" kommt in rund 30.000 WP-Installationen zum Einsatz. Es dient dem Festlegen und Verwalten von Preisnachlässen in Verbindung mit dem populären E-Commerce-Plugin WooCommerce.

Plugin-Versionen bis einschließlich 2.0.2 weisen laut einem Eintrag im Blog des Unternehmens WebArx mehrere Schwachstellen auf, die mittels Cross-Site-Scripting ohne vorherige Authentifizierung zum Ausführen von Programmcode aus der Ferne missbraucht werden könnten.

Versionen ab 2.1.0 sind abgesichert. Aktuell steht Download Discount Rules for WooCommerce auf wordpress.org in Version 2.1.2 zum Download bereit.

WordPress 5.5 kann Sicherheit verbessern

Die aktuelle WordPress-Version 5.5. bietet die Möglichkeit, automatische Aktualisierungen künftig bequemer nicht nur für das CMS selbst, sondern auch für Plugins und Design-Vorlagen zu aktivieren. Derzeit ist beim Update allerdings noch Vorsicht geboten – denn ältere Plugins und Themes, die veraltete jQuery-Funktionen nutzen, laufen anschließend mitunter nicht mehr rund. Einen Workaround für betroffene Installationen bietet das vom WordPress Core Team entwickelte Plugin jQuery Migrate Helper.

Update 25.08.20, 13:37: Meldung um Hinweis auf mögliche Probleme in WP 5.5 ergänzt. (ovw)