Ihre Meinung

Zero-Day-Lücke in WP-Plug-in entdeckt

Haykel Jouini - 12. November 2018 - 15:50
Zero-Day-Lücke in WP-Plug-in entdeckt
Betroffen ist das Plug-in WP GDPR Compliance. Hacker haben es bereits geschafft, mehrere Seiten zu kapern.

(CCM) — Eine neu entdeckte Zero-Day-Lücke soll es Hackern ermöglichen, die Kontrolle über mit WordPress erstellte Webseiten zu übernehmen. Von der Lücke betroffen ist das weitverbreitete Plug-in WP GDPR Compliance. Diese Erweiterung hilft Betreibern von WP-Seiten, die neue Datenschutz-Grundverordnung (DSGVO) umzusetzen.

Das beliebte Plug-in wurde bisher über 100.000 Mal installiert. Über die Lücke können Hacker Admin-Konten erstellen und die gesamte Kontrolle über das CMS übernehmen. Ein Admin-Konto erlaubt es den Angreifern, dem Seitenbetreiber sämtliche Rechte zu entziehen und beliebige Plug-ins und Scripts zu installieren.


Erste Berichte über ein merkwürdiges Verhalten des WP-Back-Ends wurden vor drei Wochen im Support-Forum von WordPress veröffentlicht. Ein betroffener User berichtet davon, wie er nach dem Login auf seiner Seite eine Admin-Benachrichtigung erhielt, obwohl er selbst und seine Frau die einzigen Admins sind. Er hat außerdem das Plug-in 2MB Autocode entdeckt, das weder von ihm noch von seiner Frau installiert wurde.

Das Sicherheitsteam von WordPress hat die Lücke inzwischen bestätigt und das infizierte Plug-in WP GDPR Compliance aus seinem Verzeichnis entfernt. Die Entwickler des Plug-ins haben ebenfalls reagiert und ein Update veröffentlicht. Betroffenen Seitenbetreibern wird empfohlen, sofort die Version 1.4.3 von WP GDPR Compliance zu installieren.

Foto: © iStock.

Lesen Sie auch

Kommentar hinzufügen

Kommentare

Antwort von anonymer Benutzer kommentieren