Fehler im WordPress-Plugin erlauben Remotecodeausführung
Websites, auf denen WordPress ausgeführt wird und das Frontend File Manager-Plugin verwenden, sind Hackerangriffen ausgesetzt. Das fragliche Plugin, das sich auf das Hochladen und Verwalten von Dateien während der Verwendung der WP-Plattform konzentriert, weist einen kritischen Cross-Site-Scripting-Fehler auf, der es Hackern ermöglicht, schädliches JavaScript in die Seiten einzuschleusen und ihre eigenen Konten auf Administratorebene zu erstellen.
Der kritische Fehler ist in den Versionen 17.1 und 18.2 des Frontend-Dateimanager-Plugins zu finden und ist einer von sechs hochbedrohlichen Fehlern in diesen beiden Versionen. Das Problem besteht darin, dass es laut Threatposts Bericht zu diesem Problem über zweitausend Websites gibt, auf denen die gleichen beiden Versionen des WP-Plugins ausgeführt werden.
Die kritischen Schwachstellen des Plugins wurden am 12. Juni öffentlich bekannt gegeben und es wurden bereits Patches dafür bereitgestellt.
Zusätzlich zur Möglichkeit, JavaScript-Code in die Seiten der Website einzufügen, auf der WP und das Plugin ausgeführt werden, ermöglichten die Fehler Hackern auch, Seiten und Beiträge zu bearbeiten oder einfach zu löschen, Kontoberechtigungen zu eskalieren und Cross-Site-Scripting-Angriffe auszuführen, auch genannt referred als XSS-Angriffe. Diese Ergebnisse wurden von Sicherheitsforschern in Zusammenarbeit mit dem Ninja Technologies Network gemacht.
Der Bericht von Ninja Technologies gibt eine detaillierte Aufschlüsselung aller fehlerhaften Funktionen des Plugins und erklärt, wie genau diese es böswilligen Akteuren ermöglichen, bösartigen Code in Seiten einzuschleusen oder Kontoberechtigungen zu erhöhen und effektiv Admin-Zugriff und -Privilegien zu erlangen.
Die Fehler ermöglichen es Hackern auch, PHP zur Liste der Dateien hinzuzufügen, die zum Hochladen innerhalb des Frontend-Dateimanager-Plugins zugelassen sind. Dies wiederum ermöglicht es ihnen, bösartige Skripte hochzuladen, die eine Remotecodeausführung ermöglichen.
Jeder, der das Frontend File Manager-Plugin auf seiner WP-Website verwendet, muss sofort auf die Version 18.3 des Plugins aktualisieren, um mögliche Probleme zu vermeiden und seine Konfiguration zu sichern.
WordPress-Plugins sind dafür berüchtigt, Schwachstellen und Probleme zu haben, die zu ernsthaften Problemen für die Website-Besitzer führen können. Das Frontend File Manager-Plugin ist nicht das erste, und wenn man sich an der Track-Historie anderer Plugins orientieren kann, wird es wahrscheinlich nicht das letzte mit kritischen Fehlern sein. Website-Besitzer, die benutzerdefinierte WordPress-Plugins verwenden, sollten immer nach Updates für diese Plugins Ausschau halten, um so sicher wie möglich zu bleiben.
