Websites, die WordPress verwenden, müssen diese beiden Plugins entfernen.

Laut The Hacker News weisen zwei WordPress-Plugins, Malware Scanner und Web Application Firewall von miniOrage, eine kritische Sicherheitslücke auf, CVE-2024-2172, die von Stiofan entdeckt wurde und einen Schweregrad von 9,8 von 10 Punkten auf der CVSS-Skala hat.

Die Sicherheitslücke hatte weitreichende Folgen, denn obwohl der Entwickler sie am 7. März 2024 aus dem WordPress App Store entfernte, konnte sie immer noch Probleme verursachen, da Malware Scanner auf bis zu 10.000 Websites installiert und aktiv war, im Vergleich zu 300 für Web Application Firewall.

Wordfence gab an, dass diese Sicherheitslücke auf fehlende Prüfungen im Code des Plugins zurückzuführen sei, wodurch ein Angreifer willkürlich das Passwort eines beliebigen Benutzers ändern und ohne Authentifizierung Administratorrechte erlangen könne, was potenziell zu einer vollständigen Kompromittierung der Website führen könne.

Mit Administratorrechten können Hacker problemlos zusätzliche Plugins und schädliche ZIP-Dateien mit Hintertüren herunterladen sowie Website-Beiträge so verändern, dass Benutzer auf andere schädliche Websites umgeleitet werden.

Zuvor wurde ein ähnliches Plugin namens RegistrationMagic mit dem Sicherheitscode CVE-2024-1991 und einem CVSS-Wert von 8,8 gemeldet. Auch hier handelt es sich um eine schwerwiegende Sicherheitslücke, die eine Rechteausweitung ermöglicht. Dieses Plugin wurde bereits über 10.000 Mal heruntergeladen und installiert.

WordPress ist ein beliebtes Open-Source-Content-Management-System (CMS), das weltweit weit verbreitet ist. Dank seiner einfachen Installation, des unkomplizierten Hochladens von Inhalten und der einfachen Verwaltung eignet es sich ideal für verschiedene Arten von Websites, wie Online-Shops, Portale und Diskussionsforen. Laut w3techs nutzen derzeit 43,1 % aller Websites weltweit diese CMS-Plattform.