Das Wordfence-Team des WordPress-Sicherheitsunternehmens Defiant warnt, dass Tausende von WordPress-Websites aufgrund einer kritischen Sicherheitslücke in zwei MiniOrange-Plugins, die kürzlich eingestellt wurden, möglicherweise von einer Übernahme bedroht sind.
Die beiden Plugins Malware Scanner und Web Application Firewall von MiniOrange wurden am 7. März geschlossen, zwei Tage nachdem der kritische Fehler den Betreuern gemeldet wurde.
Der Fehler wird als CVE-2024-2172 (CVSS-Score 9,8) verfolgt und ist auf eine fehlende Fähigkeitsprüfung in einer in beiden Plugins vorhandenen Funktion zurückzuführen, die es einem nicht authentifizierten Angreifer ermöglicht, seine Rechte auf den Administrator auszuweiten.
Da beim Versuch, das Passwort eines Benutzers zu ändern, keine Authentifizierung und Passwortvalidierung durchgeführt wird, könnte ein nicht authentifizierter Angreifer das Passwort für jedes Benutzerkonto aktualisieren, sofern er einen gültigen Benutzernamen angibt.
„Wie bei jeder willkürlichen Änderung des Benutzerpassworts, die zu einer Sicherheitslücke bei der Rechteausweitung führt, kann dies für eine vollständige Kompromittierung der Website genutzt werden. Sobald ein Angreifer administrativen Benutzerzugriff auf eine WordPress-Site erlangt hat, kann er alles auf der Ziel-Site manipulieren, wie es ein normaler Administrator tun würde“, bemerkt Wordfence.
Das Problem wurde extern über das Bug-Bounty-Programm von Wordfence gemeldet und der meldende Forscher erhielt für die Entdeckung eine Belohnung von 1.250 US-Dollar.
Als sie letzte Woche abgeschaltet wurden, hatte Malware Scanner über 10.000 aktive Installationen, während Web Application Firewall mehr als 300 Installationen hatte. Websitebesitzern wird empfohlen, diese Plugins so schnell wie möglich zu löschen.
Am Donnerstag warnte Wordfence vor einer weiteren Sicherheitslücke bei der Rechteausweitung, die Tausende von WordPress-Seiten betrifft, dieses Mal im RegistrationMagic-Plugin, das Benutzerregistrierungsfunktionen wie Formulare, Benutzerverwaltung, Analysen und mehr unterstützt und über 10.000 aktive Installationen verfügt.
Der als CVE-2024-1991 verfolgte Fehler mit hoher Schwere wurde in einer Funktion identifiziert, die für die Aktualisierung von Benutzerrollen verantwortlich ist. Diese wurde unsicher implementiert und ermöglichte es somit authentifizierten Benutzern, sich selbst Administratorrechte zu gewähren.
Dies ermöglicht es Angreifern, die sich als Abonnenten einer anfälligen Website authentifiziert haben, ihre Rechte auf die von Administratoren zu erhöhen und die Website zu übernehmen.
Ein Patch für die Schwachstelle war in RegistrationMagic Version 5.3.1.0 enthalten. Dem Forscher, der Wordfence den Fehler gemeldet hatte, wurde eine Bug-Bounty-Belohnung in Höhe von 1.313 US-Dollar ausgezahlt.
Verwandt: Ultimativer Member-Plugin-Fehler setzt 100.000 WordPress-Sites Angriffen aus
Verwandt: Kritischer Fehler im beliebten WordPress-Plugin „Ultimate Member“.
Verwandt: Websites aufgrund einer Sicherheitslücke im Bricks Builder WordPress-Plugin gehackt
