Forscher haben je eine Sicherheitslücke in den WordPress-Plugins ThemeGrill Demo Importer und ThemeREX Addons entdeckt. Es stehen Aktualisierungen beziehungweise ein temporärer Workaround bereit. Da beide Lücken als kritisch gelten und jene im ThemeREX Addons Plugin laut ihren Entdeckern bereits angegriffen wird, sollten Nutzer zügig handeln.

ThemeGrill Demo Importer

Das Demo-Importer-Plugin dient laut Beschreibung seiner Entwickler dazu, Wordpress-Themes des Anbieters ThemeGrill "mit einem Klick" in die eigene WP-Installation zu importieren. Ein Forscherteam des Unternehmens WebARX fand eine Sicherheitslücke, die Plugin-Versionen ab inklusive 1.3.4 bis einschließlich 1.6.1 betreffen soll.

Wie einer detaillierten Beschreibung von WebARX zu entnehmen ist, könnte ein entfernter Angreifer die Lücke ohne vorherige Authentifizierung ausnutzen, um Inhalte aus der Datenbank der WP-Installation zu löschen und anschließend automatisch Admin-Zugriff zu erhalten.

Die Sicherheitslücke, für die in der Beschreibung keine CVE-Nummer erwähnt wird, lässt sich laut ihrer Entdecker nur dann missbrauchen, wenn zuvor mittels des Plugins ein Theme importiert und auch aktiviert wurde. Das automatische Login als Admin ist zudem nur möglich, wenn sich bereits zuvor ein "admin"-Account in der Datenbank befand.

Das Plugin, das derzeit in mehr als 200.000 WP-Installationen aktiv ist, ist auf wordpress.org mittlerweile in der abgesicherten Version 1.6.3 verfügbar. WebArx zufolge haben die Plugin-Entwickler die Lücke am vergangenen Sonntag geschlossen.

ThemeREX Addons Plugin

Wie der Name schon vermuten lässt, ist auch das ThemeREX-Addons-Plugin mit herstellerspezifischen WP-Themes verknüpft. Es wird bei der Installation eines "ThemeREX"-Themes im automatisch angelegten Ordner trx_addons abgelegt und dient dem Theme- und Feature-Management. Die Sicherheitslücke betrifft laut ihren Entdeckern von Wordfence Plugin-Versionen ab 1.6.50 aufwärts.

Laut Eintrag im Wordfence-Blog ermöglicht die Lücke die Codeausführung aus der Ferne (Remote Code Execution) auf Websites, in deren Kontext das Plugin läuft. Auf diesem Wege soll es Angreifern mit dem passenden Code auch möglich sein, neue Admin-Accounts anzulegen.

Wordfence gibt für die Sicherheitslücke keine CVE-Nummer, dafür aber aber einen CVSS-Score von 9.8 ("critical") an. Das ThemeREX-Team hat am gestrigen Mittwoch angekündigt, seine Themes auf der Plugin Themeforest zeitnah mit einer abgesicherten Plugin-Version zu aktualisieren. Nutzer, die lieber selbst (und sofort) reagieren möchten, können einen manuellen Workaround vornehmen, der in einem Kommentar im Wordfence-Blog beschrieben wird.

Schnelles Handeln ist für die Betreiber der rund 44.000 Websites, die das Plugin nutzen, ratsam: Wordfence warnt davor, dass die Lücke derzeit aktiv in freier Wildbahn ausgenutzt werde. (ovw)