Hacker nutzen Sicherheitslücke bei Wordpress Plugin Themegrill
Das Wichtigste in Kürze
- Im Wordpress-Plugin Themegrill wurde eine kritische Sicherheitslücke aufgedeckt.
- Sie ermöglicht nicht-eingeloggten Personen die Löschung von Inhalten oder gar den Zugriff.
- Es wird dringend empfohlen, die neueste Version 1.6.3 zu installieren.
Das Internet-Sicherheitsunternehmen WebARX hat eine kritische Lücke in einem Wordpress-Plugin aufgedeckt. Das Plugin Themegrill Demo Importer kann unter Umständen die ganze Datenbank einer Wordpress-Installation Löschen. Schlimmer noch: In gewissen Fällen können Hacker das Plugin nutzen, um Zugriff auf ein System zu erhalten.
Über den Vorfall berichtete zuvor «golem.de».
Themegrill ermöglicht, Beispielinhalte in Wordpress anzuzeigen um damit Themes, also visuelle Oberflächen von Wordpress-Seiten, zu testen. Gleichzeitig wird die Möglichkeit geboten, eine Wordpress-Datenbank komplett neu aufzusetzen. Wie WebARX herausfand, kann auf diese Funktion auch ohne Login zugegriffen werden.
Sollte vor dem Neuaufsetzen ein Account mit dem Namen «admin» bestehen, wird dieser mit dem Reset der Datenbank neu angelegt. Wer den Befehl gegeben hat, wird danach automatisch mit dem admin-Account eingeloggt. Dadurch können Hacker Zugriff auf die komplette Wordpress-Installation zugreifen.
Update behebt die Lücke
Nachdem im ersten Anlauf das Schliessen der Lücke misslungen war, steht mit der Plugin-Version 1.6.3 mittlerweile eine sichere Version zur Verfügung. Dennoch empfiehlt «golem.de», das Plugin zu deinstallieren, sollte es nicht benötigt werden.
Wordpress ist das am weitesten verbreitete Content Managing System (CMS) für Websites. Rund 32 Prozent aller Websites nutzen die Open-Source-Software. Das Wordpress-Plugin Themegrill verzeichnete vor der Sicherheitslücke 200'000 Installationen. Wie WebARX berichtet ist die Zahl mittlerweile auf unter 100'000 gesunken.
Weiterlesen
Alle Geräte betroffen Gravierende Sicherheitslücke bei Yealink
Alle Geräte betroffen Gravierende Sicherheitslücke bei Yealink
Smart-Home-Sicherheit Hacker infiltrieren Netzwerk über «Glühbirnen»
Smart-Home-Sicherheit Hacker infiltrieren Netzwerk über «Glühbirnen»
Belauschen möglich Messenger Signal kämpft mit Sicherheitslücke
Belauschen möglich Messenger Signal kämpft mit Sicherheitslücke
In Thailand Jetzt müssen Auslandschweizer doch Steuern auf AHV zahlen
In Thailand Jetzt müssen Auslandschweizer doch Steuern auf AHV zahlen
Flucht vor Kälte 10 Kilometer Stau vor dem Gotthard-Tunnel
Flucht vor Kälte 10 Kilometer Stau vor dem Gotthard-Tunnel
Altdorf UR Urner Regierung beantragt Nachtragskredit für Stiftung Papilio
Altdorf UR Urner Regierung beantragt Nachtragskredit für Stiftung Papilio
Universität New York Polizei räumt Pro-Palästina-Zeltlager
Universität New York Polizei räumt Pro-Palästina-Zeltlager
«Billo, grausam» Das sagen die Promis zu Wendler-Lauras Musikdebüt
«Billo, grausam» Das sagen die Promis zu Wendler-Lauras Musikdebüt
«Captain America 4» Erste Szenen mit Harrison Ford als US-Präsident