Summer of Pwnage findet Schwachstellen in Erweiterungen und Themes

24 Lücken in populären Wordpress-Plugins

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Im Rahmen des Summer of Pwnage haben Experten zahlreiche Lücken gefunden.
Im Rahmen des Summer of Pwnage haben Experten zahlreiche Lücken gefunden. (Bild: Wordpress)

Sicherheitsexperten haben sich populäre Plugins und Themes für Wordpress vorgenommen und diese im Rahmen des Summer of Pwnage auf Schwachstellen abgeklopft. Dabei wurden sie schnell fünding. In 24 Erweiterungen stecken Fehler, einige erlauben sogar den Zugriff auf die Wordpress-Installation.

Die Sicherheitsexperten der Bug-Suche „Summer of Pwnage“ haben sich Wordpress, dessen populäre Plugins und Themes vorgenommen. Wie immer wenn diese Experten auf Systeme losgehen, ist das Ergebnis ernüchtern. Insgesamt 24 Schwachstellen wurden gefunden, betroffen sind Themes und populäre Plugins.

Übersicht über Schwachstellen

Ein Großteil der Schwachstellen entstehen durch Cross-Site-Scripting-Lücken. Darüber können die Angreifer auf die internen Funktionen des Plugins oder Themes zugreifen. Um Ihnen einen schnelleren Überblick zu geben, haben wir alle Schwachstellen in einer Tabelle zusammengestellt:

Betroffen Sicherheitslücke Auswirkung Link
Contact Form Manager - Plugin CSRF / CSS Ändern von Einstellungen Details
User Login Log - Plugin CSS Zugriff auf Daten Details
Adminer - Plugin Datenbankzugriff Zugriff auf Wordpress-Datenbank Details
VaultPress - Plugin Man in the Middle Ausführen von Code Details
Alpine PhotoTile - Plugin CSS Zugriff auf Daten Details
Charitas Lite - Theme CSS Zugriff auf Daten Details
Google Analytics Dashboard - Plugin CSS Zugriff auf Daten Details
Popup by Supsystic - Plugin CSRF Zugriff auf Daten Details
Formbuilder - Plugin CSS Zugriff auf Daten Details
Atahualpa - Theme CSS Zugriff auf Daten Details
Atahualpa - Theme CSRF Zugriff auf Daten Details
Wordpress Download Manager - Plugin CSRF Zugriff auf Daten Details
WP-SpamFree Anti-Spam - Plugin CSS Zugriff auf Daten Details
WP-Filebase Download Manager - Plugin CSS Zugriff auf Daten Details
TrustForm - Plugin CSS Zugriff auf Daten Details
Admin Custom Login - Plugin CSS Zugriff auf Daten Details
Admin Custom Login - Plugin CSS Zugriff auf Daten Details
Analytics Stats Counter Statistics - Plugin PHP Object Injection Einspeisen von Code Details
nBill Lite - Plugin PHP Object Injection Einspeisen von Code Details
Tribulant Slideshow Galleries - Plugin CSS Zugriff auf Daten Details
Doctors - Theme CSS Zugriff auf Daten Details
Simple Ads Manager - Plugin PHP Object Injection Ausführen von Code (unbestätigt) Details
Global Content Blocks - Plugin CSRF Ausführen von Code Details
File Manager - Plugin CSRF Hochladen von Dateien Details

Updates noch nicht verfügbar

Aktuell gibt es noch keine Aktualisierungen für die verschiedenen Schwachstellen. Problematisch ist, dass die Informationen bereits in der Öffentlichkeit sind. Wer eins oder mehrere dieser Plugins oder Themes verwendet, sollte die Zugriffe auf sein Blog genau überprüfen. Sobald die Updates verfügbar sind, sollten sie schnellstmöglich installiert werden. Als nächstes wollen sich die Experten rund um den Summer of Pwnage übrigens das Internet of Things vonehmen. Wenn diese Untersuchung ähnlich ausfällt, dürften einige Hersteller bereits jetzt zittern.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44550806 / Sicherheitslücken)