WordPress mit Sicherheitsaktualisierung

Lesedauer < 1 Minute
0
(0)

Millionen von WordPress-Websites haben in den letzten Tagen einen weiteres Update erhalten, berichtete Ars Technica. Der Grund dafür ist eine Sicherheitslücke in UpdraftPlus, einem beliebten Plugin, mit dem Benutzer Backups von Websites erstellen und wiederherstellen können. Die Entwickler von UpdraftPlus haben um den obligatorischen Patch gebeten, da die Schwachstelle es jedem, der über ein Konto verfügt, ermöglichen würde, die gesamte Datenbank einer Website herunterzuladen.

Der Fehler wurde vom Jetpack-Sicherheitsforscher Marc Montpas während einer Sicherheitsüberprüfung des Plugins entdeckt. „Dieser Fehler ist ziemlich einfach auszunutzen, mit einigen sehr schlechten Folgen, wenn er ausgenutzt wird“, sagte er gegenüber Ars Technica. „Er ermöglicht es Nutzern mit geringen Rechten, die Backups einer Website herunterzuladen, darunter auch rohe Datenbank-Backups.“

Der Hauptfehler bestand darin, dass UpdraftPlus die „Heartbeat“-Funktion von WordPress nicht korrekt implementierte, indem es nicht prüfte, ob die Benutzer über administrative Rechte verfügten. Ein weiteres Problem war eine Variable, die zur Validierung von Admins verwendet wurde und von nicht vertrauenswürdigen Benutzern geändert werden konnte. Jetpack hat in einem Blog-Post weitere Einzelheiten über die Funktionsweise eines Hacks bekannt gegeben.

Er informierte die UpdraftPlus-Entwickler am Dienstag letzter Woche über den Fehler, die ihn einen Tag später behoben und kurz darauf mit der Zwangsinstallation des Patches begonnen haben. Bis Donnerstag hatten 1,7 Millionen Websites von über 3 Millionen Nutzern den Patch erhalten.

Wie fandest du den Post?

Auf einen Stern klicken zum bewerten

durchschnittlich 0 / 5. bereits abgestimmt haben: 0

Keine Bewertungen bisher, sei der erste

As you found this post useful...

Follow us on social media!

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Schreibe einen Kommentar

Consent Management Platform von Real Cookie Banner