Themegrill Demo ImporterVon der IT-Sicherheitsfirma WebARX kommt die Warnung vor einer gefährlichen Sicherheitslücke in einem WordPress-Plugin: Das Plugin Themegrill Demo Importer kann die Datenbank einer WordPress-Installation vollständig löschen. Sollte in der WordPress-Installation auch noch ein Nutzer mit dem Namen „admin“ angelegt sein, dann kann man die Lücke auch dafür ausnutzen, um die gesamte WordPress-Installation zu übernehmen und Code auszuführen.

Eigentlich vertreibt Themegrill WordPress-Themes. Das bedenkliche Plugin dient eigentlich nur als Hilfsmittel, um WordPress-Seiten mit Beispielinhalten zu füllen und damit die Funktionalität von Themes zu testen. Dabei installiert dass Theme einen Hook, der die Option bietet, die komplette Datenbank von WordPress neu aufzusetzen.

Datenbank kann von jedem remote gelöscht werden

Diese Spezialfunktion wird ausgelöst, wenn eine bestimmte GET-Variable in der aufgerufenen URL gesetzt ist und kann zum Beispiel über das Ajax-Interface von WordPress gestartet werden. Leider funktioniert das auch für nicht angemeldete Benutzer. Deshalb kann ein Angreifer auch einfach die Datenbank eines WordPress-Systems mit dem installierten Plugin Themegrill Demo Importer löschen, und alle bisher erstellten Inhalte sind dann unwiderruflich weg.

Außerdem sorgt die Funktion noch dafür, dass ein eventuell vorhandenes Benutzerkonto mit dem Benutzernamen „admin“ nach dem Rücksetzen der Datenbank neu angelegt und der ausführende Benutzer dann damit eingeloggt wird.

Im Klartext: Wenn ein Admin- Account existiert, lässt sich die Sicherheitslücke auch missbrauchen, um nach dem Angriff die komplette WordPress-Installation zu kontrollieren. Über die Installation von Plugins kann man dann damit auch beliebigen Code ausführen.

Aktuell werden schon Angriffe auf die Sicherheitslücke verzeichnet. Manche der Webseiten, die das Plugin benutzen, weisen inzwischen keine Inhalte mehr auf und zeigen nur noch den „Hello World!“- Beispielsartikel an, der bei einer Neuinstallation von WordPress angelegt wird.

Abhilfe durch Update oder Löschung

Themegrill hat inzwischen ein Update bereitgestellt, in Version 1.6.3 wird geprüft, ob die Aktion von einem angemeldeten Nutzer ausgeführt wird. Wer das Plugin einsetzt, sollte also entweder schnellstmöglich aktualisieren oder das Plugin komplett entfernen, falls er es sowieso nicht mehr benötigt.