Jetzt updaten: WordPress-Plugin "The Plus Addons for Elementor" unter Beschuss

  • Allgemein

  • mad.de
  • 181 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Jetzt updaten: WordPress-Plugin "The Plus Addons for Elementor" unter Beschuss

    Für die kostenpflichtige Variante des Plugins "The Plus Addons for Elementor" steht seit dem gestrigen Dienstag ein Update gegen eine kritische Lücke bereit.

    Das Team von Wordfence, einem Sicherheits-Plugin für WordPress, hat in einem Blogeintrag auf eine kritische Sicherheitslücke in der kostenpflichtigen Version von "The Plus Addons for Elementor" hingewiesen. Dabei handelt es sich um ein Plugin, das Widgets, Templates und Tools für den WordPress Website Builder Elementor in sich vereint.

    Besagte Sicherheitslücke wird offenbar mindestens seit vergangener Woche aktiv angegriffen; Nutzer sollten jetzt auf die neueste, am gestrigen Dienstag erschienene Version updaten.

    Version 4.1.7 abgesichert, "Lite"-Variante nicht betroffen
    Das Premium-Plugin "The Plus Addons for Elementor" findet nach Schätzungen des Wordfence-Teams in über 30.000 WordPress-Installationen Verwendung. Die neue Version 4.1.7 ist gegen die Sicherheitslücke mit der CVE-ID 2021-24175 (CVSS-Score 9.8) abgesichert, alle früheren sind verwundbar. Das gilt auch für Version 4.1.6, die ebenfalls erst gestern veröffentlicht wurde, bevor die Plugin-Entwickler später noch einmal nachlegten. In einem eigenen Blogeintrag raten sie dringend zum Update auf Version 4.1.7.

    Von CVE-ID 2021-24175 laut Wordfence wohl nicht betroffen ist die Gratis-Variante des Plugins, "The Plus Addons for Elementor Page Builder Lite". Sie benötigt dementsprechend auch keine Aktualisierung.

    Aktive Exploits – Übernahme der WP-Installation möglich
    Einem Eintrag zu CVE-ID 2021-24175 in der Schwachstellen-Datenbank WPScan zufolge wird das Plugin mindestens seit dem 5. März aktiv angegriffen. Die Schwachstelle ermöglicht das Umgehen von Authentifizierungsmechanismen aus der Ferne: Angreifer ohne jegliche Zugangsdaten könnten sie demnach missbrauchen, um sich als beliebiger Nutzer (auch als Admin) anzumelden oder um neue (Admin-)Accounts anzulegen, sofern diese Funktion aktiviert ist.

    Proof-of-Concept-Code soll am 31. März 2021 bei WPScan veröffentlicht werden – ein Grund mehr, jetzt auf "The Plus Addons for Elementor" in Version 4.1.7 umzusteigen.

    Quelle: Jetzt updaten: WordPress-Plugin "The Plus Addons for Elementor" unter Beschuss | heise online

    Update 16.03.2021:

    Admin-Lücke im WordPress-Plug-in The Plus Addons for Elementor geschlossen

    Ein wichtiges Sicherheitsupdate schließt eine kritische Lücke im kostenpflichtigen The Plus Addons for Elementor für WordPress-Websites.

    Admins, die auf ihrer mit dem Content Management System (CMS) WordPress erstellten Website das Plug-in The Plus Addons for Elementor einsetzen, sollten es zügig aktualisieren. Ansonsten könnten Angreifer Seiten mit Admin-Rechten attackieren.

    Mit dem Plug-in können Admins Website mit Widgets wie Tabellen und Videos ausstatten.

    Nicht alle Versionen betroffen
    Die Sicherheitsforscher von Wordfence weisen in einem Beitrag darauf hin, dass ausschließlich die kostenpflichtige Version des Plug-ins von der als "kritisch" eingestuften Sicherheitslücke (CVE-2021-24175) betroffen ist. The Plus Addons for Elementor Lite ist davon nicht bedroht.

    Wie Attacken im Detail ablaufen, führen die Sicherheitsforscher nicht aus. Ihnen zufolge sind alle Websites, auf denen die kostenpflichtige Ausgabe des Plug-ins läuft, standardmäßig verwundbar. Betroffene Admins sollten ihre Websites auf unbekannte Benutzer-Konten prüfen. Das Plug-in soll rund 30.000 Installationen aufweisen.

    Die Entwickler geben an, dass die Version 4.1.7 gegen die Attacken abgesichert ist.

    Quelle: Admin-Lücke im WordPress-Plug-in The Plus Addons for Elementor geschlossen | heise online

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von mad.de () aus folgendem Grund: Update 16.03.2021