Sicherheitslücke in vielen WordPress-Themes

Ein Fehler im beliebten Plug-in Slider Revolution erlaubt es, beliebige Dateien vom Webserver herunterzuladen. Damit kann ein Angreifer im schlimmsten Fall den ganzen Server kompromittieren. Das Plug-in ist in einer großen Zahl von Themes fest verbaut.

In Pocket speichern vorlesen Druckansicht 50 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Das Plug-in ist integraler Bestandteil von vielen Bezahl-Themes

Eine kritische Sicherheitslücke im WordPress-Plug-in Slider Revolution erlaubt es Angreifern, eine beliebige Datei eines verwundbaren Webservers herunterzuladen. Da die Lücke den Angreifern Zugriff auf die Konfigurationsdateien des CMS gewährt, können diese so die Passwörter der WordPress-Datenbank auslesen und den Server darüber angreifen. Die Lücke ist besonders brisant, da Slider Revolution in einer großen Zahl von WordPress-Themes verbaut ist, ohne dass die Nutzer der Themes sich dessen unbedingt bewusst sind.

Slider Revolution wird in vielen Themes verwendet, um Bilder in Teasern oder Bilderstrecken zu rotieren. Viele Themes, die auf Business-Seiten abzielen, nutzen es, um Produkte zu präsentieren oder Menüpunkte der Navigation visuell aufzubereiten.

Die Sicherheitsfirma Sucuri warnt davor, dass die Anzahl der Angriffe, bei denen die Slider-Revolution-Lücke genutzt wird seit Mitte August stark angestiegen ist. Zwar haben die Entwickler des Plug-ins die Lücke bereits im Februar geschlossen, dies aber anscheinend nicht besonders publik gemacht. Das scheint dazu geführt zu haben, dass die Entwickler vieler Themes nichts von der Lücke mitbekommen haben und das bei ihnen verbaute Plug-in nicht aktualisierten. Der Plug-in- und Theme-Marktplatz Envato hat eine Liste mit Themes zusammengestellt, die Slider Revolution nutzen und verwundbar sein könnten.

Laut den Entwicklern von Slider Revolution sind die Versionen bis einschließlich 4.1.4 verwundbar. Betroffene Nutzer sollten mindestens auf Version 4.2 aktualisieren. Denjenigen, die Slider Revolution als Teil eines Dritt-Themes nutzen, empfehlen sie, sich direkt mit den Entwicklern des entsprechenden Themes in Verbindung zu setzen und ein Update zu verlangen. (fab)