Sicherheitslücke in verbreitetem WordPress-Plug-in!
- "Geschrieben von Matthias Pufke"
Betroffen ist ein Plug-in, das bei der Umsetzung der DSGVO hilft: Angreifer können damit u.a. ein neues Administrator-Konto einrichten und den Eigentümer der Seite aussperren.
Es handelt sich dabei um das "WP-GDPR-Compliance"-Plug-in. Es soll den Websitebetreibern helfen, ihre Inhalte an die DSGVO (Datenschutzgrundverordnung) anzupassen, mit mehr als 100.000 aktiven Installationen gehört es zu den beliebtesten Plug-ins, die Nutzern bei der Umsetzung der DSGVO unterstützen.
Hacker nutz(t)en eine Zero-Day-Lücke in dem Plug-in aus - diese erlaubte die Installation einer Hintertür. Angreifer können dadurch unter Umständen sogar die vollständige Kontrolle über eine Website übernehmen. Inzwischen liegt auch ein Patch für die Schwachstelle vor!
Die Entwickler der Erweiterung haben inzwischen ein Update bereitgestellt: Betroffene Nutzer sollten ihre Installationen schnellstmöglich auf die Version 1.4.3 aktualisieren, die im WordPress Plug-in-Verzeichnis verfügbar ist. Nach Bekanntwerden der Sicherheitslücke wurde es bis zur Beseitigung von dem Plug-in-Verzeichnis ausgeschlossen.