Das WordPress-Plugin „Gutenberg Template Library & Redux Framework“ bietet die Möglichkeit, vielfältig designte Templates für WordPress zu verwalten und anzuwenden. Laut der offiziellen Website des Herstellers redux.io weist das Plugin über eine Million aktive Installationen auf.

In der Gutenberg-Template-Version 4.2.11 und deren Vorgängervarianten entdeckte das Team des Sicherheits-Plugins Wordfence vor Kurzem allerdings zwei problematische Bereiche: Durch die erste identifizierte Sicherheitslücke (CVE-2021-38312, CSS-Score 7.1) könnten beispielsweise registrierte Autorinnen und Autoren über die WordPress-Rest-API beliebige neue Plugins installieren und aktivieren – obwohl sie dazu eigentlich nicht berechtigt wären. So könnte auch Software hochgeladen werden, die mit schädlichem Code versehen ist. Zudem hätten die entsprechenden Nutzer die Möglichkeit, Postings und Seiten zu löschen.

Die zweite Lücke (CVE-2021-38314, CSS-Score 5.3) ermögliche es Angreifern, auf sensible Konfigurationsinformationen von Websites zuzugreifen.

Auf dem Wordfence-Blog geht das Team, das die Problematiken mittlerweile in Zusammenarbeit mit den Verantwortlichen von redux.io behoben hat, ausführlich auf die beiden Lücken und ihre Ursachen ein. Mittlerweile seien sowohl Wordfence-Premium-User als auch Nutzerinnen und Nutzer der kostenfreien Version geschützt. Wer das „Gutenberg Template Library & Redux Framework“ auf seiner Website einsetzt, sollte sicherstellen, dass mit der aktuellsten Version (4.2.14 ) gearbeitet wird.