Admins von mit dem Content Management System (CMS) WordPress erstellten Internetseiten sollten prüfen, ob sie das Plugin File Manager einsetzen. Ist das der Fall, sollten sie es auf den aktuellen Stand bringen.
Andernfalls könnten Angreifer mit vergleichsweise wenig Aufwand die volle Kontrolle über Websites erlangen. Genau das soll derzeit gehäuft passieren: Sicherheitsforscher von Wordfence berichten, dass sie in den vergangenen Tagen über 450.000 Angriffsversuche beobachtet haben.
Das Plugin weist mehr als 700.000 aktive Installationen auf. Eine CVE-Nummer der Lücke ist derzeit nicht bekannt. Die Schwachstelle ist mit dem Bedrohungsgrad "kritisch" eingestuft.
Weitreichende Folgen
Aufgrund eines nicht näher beschrieben Fehlers warnen die Entdecker der Lücke von Seravo in einem Beitrag davor, dass Angreifer beliebige Dateien auf verwundbare Seiten hochladen und ausführen können. In dieser Position hätten Angreifern ihnen zufolge freie Hand und könnten beispielsweise Daten von Besuchern mitschneiden oder sogar ganze Seiten zerstören.
Informationen zu möglichen Angriffsszenarien halten sie eigenen Angaben zufolge noch zurück, damit möglichst viele Nutzer des Plugins ihre Seiten sicher auf den aktuellen Stand bringen können.
Updaten oder deinstallieren
Die Version File Manager 6.9 ist abgesichert. Sie erschien bereits einen Tag nach der Meldung der Schwachstelle. Wer das Plugin zum jetzigen Zeitpunkt nicht aktualisieren kann, muss es deinstallieren, um seine Seite abzusichern. Eine Deaktivierung des Plugins hilft den Sicherheitsforschern zufolge nicht.
Quelle: Sicherheitslücke im WordPress-Plugin File Manager öffnet Websites für Angreifer | heise online