geschätzte Lesezeit 1 Minuten.

0
(0)

Millionen von WordPress-Websites haben in den letzten Tagen einen weiteres Update erhalten, berichtete Ars Technica. Der Grund dafür ist eine Sicherheitslücke in UpdraftPlus, einem beliebten Plugin, mit dem Benutzer Backups von Websites erstellen und wiederherstellen können. Die Entwickler von UpdraftPlus haben um den obligatorischen Patch gebeten, da die Schwachstelle es jedem, der über ein Konto verfügt, ermöglichen würde, die gesamte Datenbank einer Website herunterzuladen.

Der Fehler wurde vom Jetpack-Sicherheitsforscher Marc Montpas während einer Sicherheitsüberprüfung des Plugins entdeckt. “Dieser Fehler ist ziemlich einfach auszunutzen, mit einigen sehr schlechten Folgen, wenn er ausgenutzt wird”, sagte er gegenüber Ars Technica. “Er ermöglicht es Nutzern mit geringen Rechten, die Backups einer Website herunterzuladen, darunter auch rohe Datenbank-Backups.”

Der Hauptfehler bestand darin, dass UpdraftPlus die “Heartbeat”-Funktion von WordPress nicht korrekt implementierte, indem es nicht prüfte, ob die Benutzer über administrative Rechte verfügten. Ein weiteres Problem war eine Variable, die zur Validierung von Admins verwendet wurde und von nicht vertrauenswürdigen Benutzern geändert werden konnte. Jetpack hat in einem Blog-Post weitere Einzelheiten über die Funktionsweise eines Hacks bekannt gegeben.

Er informierte die UpdraftPlus-Entwickler am Dienstag letzter Woche über den Fehler, die ihn einen Tag später behoben und kurz darauf mit der Zwangsinstallation des Patches begonnen haben. Bis Donnerstag hatten 1,7 Millionen Websites von über 3 Millionen Nutzern den Patch erhalten.

Wie fandest du den Post?

Auf einen Stern klicken zum bewerten

durchschnittlich 0 / 5. bereits abgestimmt haben: 0

Keine Bewertungen bisher, sei der erste

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Von Lars Müller

Blogger und Fachangestellter für Bäderbetriebe. Fliege in meiner Freizeit mit einer Drohne umher. Absolut interessiert in Sachen Linux, Windows, Serverhosting.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

+ 61 = 70

Consent Management Platform von Real Cookie Banner