Kritischer Bug im Wordpress-Plugin erlaubt externen Zugriff
In einem Wordpress-Plugin klafft eine grosse Sicherheitslücke. Diese erlaubt es Angreifern von aussen Code auszuführen. Um die Website zu übernehmen, müssen sie nur eine PHP-Code-Injection ausführen.
Ein Wordpress-Plugin mit mehr als 90'000 Installationen klafft eine schwerwiegende Sicherheitslücke. Diese erlaubt es Angreifern von aussen Code auszuführen, mit denen verwundbare Websites kompromittiert werden können, wie "Bleepingcomputer" schreibt.
Beim Plugin handelt es sich um "Backup Migration". Diese unterstütze Admins bei der Automatisierung von Website-Backups auf einen lokalen Speicher oder ein Google-Drive-Konto. Ein Team von "Bug Hunters", bekannt als Nex Team, entdeckte den Sicherheitsfehler (CVE-2023-6553) im Rahmen eines kürzlich gestarteten Bug-Bounty-Programms, wie es heisst. Diese meldeten die Lücke an das Wordpress-Sicherheitsunternehmen Wordfence.
Es soll alle Plug-in-Versionen bis und mit "Backup Migration 1.3.6" betreffen. CVE-2023-6553 ermögliche es nicht authentifizierten Angreifern, gezielt Websites zu übernehmen. Dafür müssten sie nur eine PHP-Code-Injection ausführen, um die Remote-Code-Ausführung zu erlangen. Wie das Sicherheitsunternehmen mitteilt, liegt dies daran, dass ein Angreifer in der Lage ist, die an ein "Include" zu übergebenden Werte zu kontrollieren und diese anschliessend zur Remote-Code-Ausführung zu nutzen. Dies ermögliche es Angreifern, Code auf dem Server auszuführen. Indem die Angreifer eine speziell gestaltete Anfrage übermitteln würden, könnten Bedrohungsakteure dieses Problem ausnutzen, um beliebigen, bösartigen PHP-Code einzuschliessen und beliebige Befehle auf dem Server im Sicherheitskontext von Wordpress-Usern auszuführen.
Patch wurde Stunden danach veröffentlicht
Wordfence meldete die kritische Sicherheitslücke am 6. Dezember an Backupbliss, das Entwicklerteam hinter dem Backup Migration Plugin, wie es weiter heisst. Die Entwickler sollen nur Stunden später ein Patch veröffentlicht haben.
Trotz der Veröffentlichung dürften wohl fast 50'000 Wordpress-Websites, die eine verwundbare Version verwenden, eine Woche später immer noch nicht gesichert sein, wie die Download-Statistiken von WordPress.org nach "Bleeping Computer" zeigen. Zu guter Letzt empfiehlt die Website Administratoren dringend, ihre Websites gegen potenzielle CVE-2023-6553-Angriffe zu sichern.
Bedrohungsakteure nutzen das veraltete Wordpress-Plugin Eval PHP aus. Damit injizieren sie Schadcode und platzieren Hintertüren auf Websites. Mehr dazu können Sie hier lesen.
Mit diesen neuen Tricks locken E-Mail-Betrüger ihre Opfer in die Falle
Schweizer und Schweizerinnen verschwitzen Datenschutz bei KI
Microsoft patcht aktiv ausgenutzte Sicherheitslücke in Office-Anwendungen
BACS warnt vor anhaltendem CEO-Betrug
Identitätssicherheit jenseits des klassischen IAM
Diese Katze schnurrt am lautesten
Warum Zoom-Meetings auch im 24. Jahrhundert noch doof sind
Cyberattacken auf Schweizer Unternehmen sind um 6 Prozent gestiegen
Swiss Cyber Security Days 2026 – neue Wege zur digitalen Souveränität
