Admins, die auf ihren mit dem Content Management System (CMS) WordPress erstellten Internetseiten das Plug-in Response Menu einsetzen, sollte es zeitnah auf den aktuellen Stand bringen. Andernfalls könnten Angreifer die Kontrolle über ganze Websites erlangen und beispielsweise Backdoors hinterlegen oder Spam über die Seiten verteilen. Mit dem Plug-in kann man die Darstellung von Websites für Smartphones optimieren.
Mittel bis kritisch
Für alle drei Sicherheitslücken wurde bislang noch keine CVE-Nummer vergeben. Eine Schwachstelle ist als „kritisch“ eingestuft. Die zweite ist mit dem Bedrohungsgrad „hoch“ und die dritte mit „mittel“ versehen.
In zwei Fällen könnten Angreifer mit Schadcode verseuchte Dateien auf Seiten hochladen. In einem Fall ist die Modifikation von Plug-in-Einstellungen vorstellbar, führen Sicherheitsforscher von Wordfence in einem Beitrag aus.
Für das Hochladen von Schadcode-Dateien müssen Angreifer bereits mit niedrigen Benutzerrechten auf Seiten angemeldet sein. Wer Response Menu nutzt, sollte die abgesicherte Version 4.0.4 installieren.
Quelle: Lücken in Response Menu könnten WordPress-Sites in Spam-Schleudern verwandeln | heise online