Im bereits vorhandenen Update zum Mitgliederverwaltungs-Plugin Profile Builder haben die Entwickler eine Sicherheitslücke der höchsten Gefährdungsstufe geschlossen.

In der Free-, Hobbyist- und Pro-Version steckt ein Fehler, der es Angreifern mit wenig Aufwand erlaubt. die volle Kontrolle über die attackierte WordPress-Website zu erlangen.

Angriffe können dabei direkt über das Internet und ohne Authentifizierung stattfinden. Mit der Profile-Builder-Version 3.1.1 beseitigt der Hersteller das Problem. Alle älteren Versionen sind gefährdet. Laut Herstellerangabe sind indes bislang keine aktiven Angriffe auf die Schwachstelle registriert worden.

Der Profile-Builder gibt Seiten-Besuchern die Möglichkeit, Profile anzulegen und zu bearbeiten. Aufgrund der Schwachstelle können Angreifer Eingaben für nicht vorhandene Felder abschicken. Das Problem besteht nun darin, dass es unter bestimmten Umständen dadurch möglich ist, sich ein Admin-Profil anzulegen und damit die Seite zu übernehmen. Dazu bedarf es allerdings zusätzlich eines Formulars ohne ein Feld für die Vergabe von Nutzerrechten für registrierte Nutzer. Das müsste der Admin zuvor angelegt haben.

Mit dem WordPress-Plugin Themegrill-Demo-Importer können Nutzer die komplette WP-Datenbank neu aufsetzen. Das dient dem Einspielen von Demo-Content, kann jedoch auch dazu genutzt werden, die WordPress-Installation zu übernehmen.

Ausfindig gemacht hat die Sicherheitslücke die IT-Sicherheitsfirma WebARX. Die Experten warnen im Zusammenhang mit dem Plugin vor zwei Gefahren. Zum einen können böswillige Verwender die komplette WP-Datenbank löschen. Dazu ist nicht einmal eine Authentifizierung nötig. Zum anderen könnten Angreifer die WP-Installation sogar komplett übernehmen und etwa beliebigen Code ausführen, sofern es einen Nutzer mit dem Benutzernamen „admin“ im System gibt.

Im Grunde dient der Demo-Importer von den Theme-Händlern von Themegrill dazu, schnell Beispielinhalte in ein Design zu pumpen, um die Optik besser beurteilen zu können. Bequemerweise verfügt das Plugin zudem über eine Funktion, eben diese Inhalte mit einer einfachen Aktion auch wieder zu entfernen.

Der Haken an der Sache ist, dass diese Funktion über eine bestimmte GET-Variable in der URL aktiviert wird. Dazu ist es nicht erforderlich, als Benutzer eingeloggt zu sein. So könnte ein findiger URL-Bastler im Handumdrehen ganze Websites mit allen Inhalten löschen.

Noch perfider ist, dass die gleiche Funktion einen eventuell vorhandenen Account mit dem Benutzernamen „admin“ nach dem Resetten der Datenbank erneut anlegt. Dabei wird der Nutzer, der die Aktion ausführt, praktischerweise direkt als solcher eingeloggt. Schneller lässt sich kaum der Seiten-Admin werden. Danach besteht Vollzugriff auf die WP-Installation.

Im Gegensatz zu der oben genannten Lücke im Profile-Builder wird die Themegrill-Lücke bereits aktiv und mit Erfolg attackiert. Nutzer sollten entweder sofort updaten oder das Plugin deaktivieren. Es wird im täglichen Betrieb ohnehin nicht benötigt.

Passend dazu: 400.000 Websites betroffen: Ernste Sicherheitslücken in 3 WordPress-Plugins entdeckt