Liebe Leser,
auf sehr vielen WordPress-Instanzen läuft das beliebte Plugin "Essential Addons for Elementor". In diesem Plugin ist bis einschließlich der Version 5.7.1 eine kritische Sicherheitslücke enthalten, die auch schon aktiv von Hackern ausgenutzt wird.
Uns liegen aktive Meldungen von bereits infizierten Seiten vor! Wir empfehlen allen Webmastern die schnelle Installation des Updates auf Version 5.7.2 in der die Lücke laut Herstellerangaben geschlossen worden sein soll.
Die IT-Forscher von Patchstack haben in ihrer Analyse festgestellt, dass das betreffende Plug-in eine Sicherheitslücke aufweist, die es einem nicht authentifizierten Benutzer ermöglicht, die Rechte eines beliebigen Benutzers auf der WordPress-Website zu übernehmen.
Konkret bedeutet das, ein Angreifer kann jegliche Passwörter von bekannten Benutzerkonten zurücksetzen. Durch Ausnutzung dieser Schwachstelle können Angreifer z.B. das Passwort des Administrators zurücksetzen und sich in dessen Konto einloggen.
Die Schwachstelle tritt aufgrund einer unzureichenden Validierung des zugehörigen Schlüssels bei der Zurücksetzung des Passworts auf und das Kennwort des betreffenden Benutzers wird direkt geändert, wie von den Mitarbeitern von Patchstack beschrieben.
Quelle unserer Information & detailliertere Infos: Millionen Webseiten betroffen: Kritische Lücke in populärem Wordpress-Plug-in | heise online
Ohne Haftung & Gewähr.