Theo Der HackerNeu, zwei Plugins für WordPress, Malware Scanner und Web Application Firewall von miniOrage, weisen einen schwerwiegenden Sicherheitsfehler auf, CVE-2024-2172, der von Stiofan entdeckt wurde und einen kritischen Fehlerwert von 9,8 auf der 10-Punkte-Skala des Systems aufweist. CVSS-Sicherheitslücke punkten.
Der Fehler hat weitreichende Auswirkungen, denn auch wenn der Entwickler am 7.3.2024. März 10.000 aus dem WordPress Application Store entfernt wurde, kann er immer noch Auswirkungen haben, da Malware Scanner Installationen und Aktivitäten auf bis zu 300 Websites aufgezeichnet hat. , während mit Web Application Firewall es sind XNUMX.
Laut Wordfence ist die Sicherheitslücke auf mangelnde Überprüfungen im Plugin-Code zurückzuführen, die es einem nicht authentifizierten Angreifer ermöglichen, das Passwort eines beliebigen Benutzers willkürlich zu aktualisieren und die Berechtigungen auf Admin-Mitglieder auszudehnen, was möglicherweise zu einer vollständigen Kompromittierung der Website führt.
Wenn Hacker über Administratorrechte verfügen, können sie problemlos zusätzliche Plugins und bösartige ZIP-Dateien mit Hintertüren herunterladen und Website-Beiträge ändern, um Benutzer auf andere bösartige Websites umzuleiten.
Zuvor wurde ein ähnliches Plugin, RegistrationMagic, mit dem Fehlercode CVE-2024-1991 und dem CVSS-Score 8.8 gemeldet, bei dem es sich ebenfalls um eine Sicherheitslücke mit hohem Schweregrad zur Rechteausweitung handelt. Auch dieses Plugin wurde mehr als 10.000 Mal heruntergeladen und installiert.
WordPress ist ein bekanntes Open-Source-Content-Management-System (CMS), das weltweit weit verbreitet ist. Die einfache Installation, Veröffentlichung und Verwaltung von Inhalten auf dieser CMS-Plattform macht WordPress zur idealen Plattform für alle Arten von Websites wie Online-Shops, Informationsportale, Diskussionsforen ... Laut w3techs, diese CMS-Plattform wird derzeit von 43,1 % der Websites weltweit gewählt.