Webseiten, die WordPress verwenden, müssen diese beiden Plugins löschen.

Laut The Hacker News weisen zwei WordPress-Plugins, Malware Scanner und Web Application Firewall von miniOrage, eine schwerwiegende Sicherheitslücke auf, CVE-2024-2172, die von Stiofan entdeckt wurde und auf der CVSS-Sicherheitsbewertungsskala einen Schweregrad von 9,8 aufweist.

Der Fehler hat weitreichende Folgen, denn obwohl der Entwickler ihn am 7. März 2024 aus dem WordPress App Store entfernt hat, kann er immer noch Auswirkungen haben, da Malware Scanner auf bis zu 10.000 Websites installiert und aktiv ist, während es bei der Web Application Firewall 300 sind.

Laut Wordfence beruht die Sicherheitslücke auf einer fehlenden Überprüfung im Code des Plugins. Dadurch kann ein nicht authentifizierter Angreifer nach Belieben das Passwort eines beliebigen Benutzers ändern und seine Berechtigungen auf Administratorrechte ausweiten, was potenziell zu einer vollständigen Kompromittierung der Website führen kann.

Mit Administratorrechten können Hacker problemlos zusätzliche Plugins und schädliche ZIP-Dateien mit Hintertüren herunterladen sowie Website-Beiträge so verändern, dass Benutzer auf andere schädliche Websites umgeleitet werden.

Zuvor wurde ein ähnliches Plugin namens RegistrationMagic mit dem Fehlercode CVE-2024-1991 und einem CVSS-Wert von 8,8 gemeldet. Auch dies stellt eine schwerwiegende Sicherheitslücke zur Rechteausweitung dar. Dieses Plugin wurde zudem mehr als 10.000 Mal heruntergeladen und installiert.

WordPress ist ein bekanntes Open-Source-Content-Management-System (CMS), das weltweit weit verbreitet ist. Die einfache Installation, das unkomplizierte Veröffentlichen und Verwalten von Inhalten machen WordPress zur idealen Plattform für alle Arten von Websites, wie z. B. Online-Shops, Portale und Diskussionsforen. Laut w3techs nutzen derzeit 43,1 % aller Websites weltweit WordPress.