WordPress Plugin Hide My WP mit SQL-Injection-Schwachstelle

Publiziert am 26. November 2021 von Günter Born

[English]Eines der populärsten "Sicherheits-"Plug-Ins für WordPress, Hide My WP, ist gerade durch eine fette  SQL-Injection-Schwachstelle negativ aufgefallen. Ein weiterer Bug ermöglicht es einem Angreifer das Plugin schlicht zu deaktivieren.

Anzeige

Plugin Hide My WP

Plugin Hide My WP ist laut Eigenwerbung der Entwickler das meistverkaufte "Sicherheits"-Plugin für WordPress. Ich habe das Wörtchen "Sicherheits-" in Anführzungszeichen gesetzt, da das Plugin eher als Schlangeöl und Unsicherheitsfaktor zu sehen ist. Das Plugin verspricht WordPress vor Angreifern, Spammern und Theme-Detektoren zu verstecken. Der Entwickler reklamiert über 26.000+ zufriedene Kunden.

Schwachstellen und Bugs im Plugin

Ich bin gerade auf Facebook in einer privaten WordPress-Sicherheitsgruppe auf einen Post von Daniel Ruf gestoßen, der auf die Schwachstelle hinweist. Die Leute von PortSwigger weisen im Blog-Beitrag WordPress security plugin Hide My WP addresses SQL injection, deactivation flaws auf die schweren Schwachstellen hin.

In älteren Versionen von Hide My WP gab es eine schwerwiegende SQL-Injection-Schwachstelle (SQLi) und eine Sicherheitslücke, die es nicht authentifizierten Angreifern ermöglichte, die Software zu deaktivieren. Die inzwischen gepatchten Fehler wurden bei einer Überprüfung mehrerer Plugins auf der Website eines Kunden von Dave Jong, CTO von Patchstack, entdeckt, der WordPress-Websites vor Schwachstellen schützt und eine auf WordPress ausgerichtete Fehlerjagdplattform betreibt.

Die SQL-Injection-Schwachstelle "ist ziemlich schwerwiegend", sagte Jong gegenüber The Daily Swig. "Er erlaubt es jedem, Informationen aus der Datenbank zu extrahieren, es gibt keine Voraussetzungen dafür. Ein Tool wie SQLmap könnte diese Schwachstelle leicht ausnutzen".

Die andere Schwachstelle sei weniger schwerwiegend, könnte aber unter den richtigen Bedingungen dazu führen, dass ein böswilliger Benutzer die Ausnutzung einer anderen Schwachstelle fortsetzt", so Jong weiter. Beide Schwachstellen sind nach Jong "sehr einfach auszunutzen, da sie keine Voraussetzungen erfordern".

Jong hat die Sicherheitslücke entdeckt, den Entwickler des Plugins, wpWave, benachrichtigt und am 29. September 2021 einen "virtuellen Patch" für Premium-Patchstack-Nutzer veröffentlicht. Nachdem wpWave nicht reagierte, alarmierte er am 5. Oktober Envato, den Betreiber des codecanyon.net-Marktplatzes. Binnen weniger Minuten wurde das Plugin umgehend aus dem codecanyon.net-Marktplatz entfernt. wpWave hat dann die Bugs in der am 26. Oktober veröffentlichten Version 6.2.4 von Hide My WP behoben.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu WordPress Plugin Hide My WP mit SQL-Injection-Schwachstelle

  1. Ralf M. sagt:
    26. November 2021 um 12:10 Uhr

    Traurig das man dem Entwickler die Grundlage für sein Einkommen entziehen muss damit er überhaupt reagiert. Ist leider nicht der einzige Entwickler der sich bei Problemen nicht meldet oder abtaucht.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.