WordPress: Gefährliche Sicherheitslücke in Gutenberg-Template-Plugin

Das WordPress-Plugin „Gutenberg Template Library & Redux Framework“ bietet die Möglichkeit, vielfältig designte Templates für WordPress zu verwalten und anzuwenden. Laut der offiziellen Website des Herstellers redux.io weist das Plugin über eine Million aktive Installationen auf.
In der Gutenberg-Template-Version 4.2.11 und deren Vorgängervarianten entdeckte das Team des Sicherheits-Plugins Wordfence vor Kurzem allerdings zwei problematische Bereiche: Durch die erste identifizierte Sicherheitslücke (CVE-2021-38312, CSS-Score 7.1) könnten beispielsweise registrierte Autorinnen und Autoren über die WordPress-Rest-API beliebige neue Plugins installieren und aktivieren – obwohl sie dazu eigentlich nicht berechtigt wären. So könnte auch Software hochgeladen werden, die mit schädlichem Code versehen ist. Zudem hätten die entsprechenden Nutzer die Möglichkeit, Postings und Seiten zu löschen.
Die zweite Lücke (CVE-2021-38314, CSS-Score 5.3) ermögliche es Angreifern, auf sensible Konfigurationsinformationen von Websites zuzugreifen.
Auf dem Wordfence-Blog geht das Team, das die Problematiken mittlerweile in Zusammenarbeit mit den Verantwortlichen von redux.io behoben hat, ausführlich auf die beiden Lücken und ihre Ursachen ein. Mittlerweile seien sowohl Wordfence-Premium-User als auch Nutzerinnen und Nutzer der kostenfreien Version geschützt. Wer das „Gutenberg Template Library & Redux Framework“ auf seiner Website einsetzt, sollte sicherstellen, dass mit der aktuellsten Version (4.2.14 ) gearbeitet wird.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team