Kritische WordPress-Plugin-Schwachstelle gefährdet über 4 Millionen Websites

Die Sicherheitslücke CVE-2024-10924 (CVSS-Score: 9.8) betrifft sowohl die kostenlose als auch die Premium-Version des Plugins Really Simple Security, das auf über 4 Millionen WordPress-Websites installiert ist.

Laut Sicherheitsforscher István Márton von Wordfence könnte die Lücke automatisiert ausgenutzt werden, um massenhaft WordPress-Websites anzugreifen. Der Fehler liegt in der Funktion „check_login_and_get_user“, die in den Versionen 9.0.0 bis 9.1.1.1 eine unsichere Benutzerüberprüfung durchführt. Dies ermöglicht es Angreifern, sich ohne Authentifizierung – auch mit aktivierter Zwei-Faktor-Authentifizierung – als beliebige Benutzer, einschließlich Administratoren, anzumelden.

Nach der Offenlegung am 6. November 2024 wurde das Problem in Version 9.1.2 behoben. Aufgrund des hohen Risikos wurde ein automatisches Update auf betroffenen Websites erzwungen, um einen Missbrauch zu verhindern. Ein erfolgreicher Angriff könnte schwerwiegende Folgen haben, darunter die vollständige Übernahme und missbräuchliche Nutzung der betroffenen Websites.

Erst kürzlich hat Wordfence eine weitere schwerwiegende Schwachstelle im WPLMS Learning Management System für WordPress (CVE-2024-10470, CVSS-Score: 9.8) entdeckt. Die Sicherheitslücke ermöglicht es nicht authentifizierten Angreifern, beliebige Dateien auf dem Server zu lesen oder zu löschen.

Der Fehler betrifft Versionen des Themes vor 4.963 und resultiert aus unzureichender Validierung von Dateipfaden und fehlenden Berechtigungsprüfungen. Angreifer könnten dadurch kritische Dateien wie die wp-config.php löschen. Dies zwingt die Website in einen Setup-Modus, wodurch ein Angreifer die Website mit einer eigenen Datenbank verbinden und vollständig übernehmen könnte.

Die Schwachstelle könnte dazu führen, dass Websites kompromittiert oder für schädliche Zwecke missbraucht werden, einschließlich der Ausführung von beliebigem Code auf dem Server.