Die zwei beliebten WordPress-Plugins "Elementor" und "Backup Migration" haben wichtige Sicherheitspatches veröffentlicht. In beiden Fällen konnten Angreifer durch Ausnutzen der nun geschlossenen Sicherheitslücken die Server im schlimmsten Fall vollständig kompromittieren.

Das Website-Builder-Plugin Elementor weist laut WordPress-Plugin-Seite über 5 Millionen aktive Installationen auf. Die Entwickler hatten mit einem ersten Patch versucht die Lücke (CVE-2023-48777 "hoch") zu schließen. Laut Sicherheitsforschern von WordFence war dieser erste Versuch jedoch nicht erfolgreich - sie konnte die Lücke weiterhin ausnutzen. In der mittlerweile erschienenden Version 3.18.2 wurde die Sicherheitslücke nun tatsächlich geschlossen. Die Ursache der Schwachstelle lag in der Upload-Funktion.

Die Sicherheitslücke im Backup-Migration-Plugin (CVE-2023-6553, "kritisch"), welches von mehr als 90.000 WordPress-Systemen aktiv genutzt wird, wurde in der Version 1.3.8 behoben.

(jl, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE