WordPress: Kritische Schwachstelle in InfiniteWP Client Plugin

Publiziert am 17. Januar 2020 von Günter Born

[English]Im WordPress-Plugin InfiniteWP Client gibt es bis zur Version 1.9.4.4 eine kritische Schwachstelle, die ein Umgehen der Authentifizierung ermöglicht. Zudem sind Sicherheitsforscher auf ein Plugin gestoßen, welches auf kompromittierten WordPress-Installationen die massenhafte Umsetzung von Benutzerkennwörtern ermöglicht.

Anzeige

Schwachstelle im InfiniteWP Client-Plugin

InfiniteWP erlaubt es Benutzern, unendlich viele Installationen von WordPress von einem zentralen, eigenen Server aus zu verwalten. Wesentliche Funktionen:

  • Selbstgehostetes System: InfiniteWP läuft auf deinem eigenen Server und gibt Dir damit volle Kontrolle
  • Updates für WordPress, Plugins und Themes über mehrere Installationen mit nur einem Klick
  • Schnelles Backup und Wiederherstellung der kompletten Seite oder ausschliesslich der Datenbank
  • Zugriff auf das Backend aller deiner WordPress-Installationen mit nur einem Klick
  • Stapelverarbeitung für Plugins und Themes: Aktivierung und Deaktivierung mehrerer Plugins und Themes auf mehreren Seiten gleichzeitig
  • Installation von Plugins und Themes in mehreren Seiten gleichzeitig

und viele weitere Funktionen. Das Plugin kommt auf mehr als 300.000 Installationen, wenn ich dieser Seite glaube. In den InfiniteWP Client Plugin-Versionen 1.9.4.4 oder früher wurde eine Schwachstelle entdeckt.

Dies ist eine kritische Authentifizierungsumgehungs-Schwachstelle. Ein Proof of Concept wurde bereits veröffentlicht. Bisher liegen noch keine Hinweise auf die Ausnutzung in the Wild vor, aber die Sicherheitsforscher von Wordfence erwarten in naher Zukunft Versuche zur Ausnutzung. Mehr Informationen über diese kritische Sicherheitslücke und Hinweise, was man tun muss, um Websites zu schützen, finden sich im Wordfence-Blog..

WordPress Mass Password-Changer

Sicherheitsforscher von Sucuri sind auf einen neuen Passwortänderer (Mass Password-Changer) für WordPress gestoßen, wie ich in folgendem Tweet gelesen habe.

Das Tool ermöglicht es Angreifern, WordPress-Benutzerpasswörter in einer kompromittierten Umgebung zu ändern. Details dazu hat Sucuri in diesem Blog-Beitrag veröffentlicht.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.