Sicherheitsforscher weisen auf mehrere Sicherheitslücken in drei Plugins für WordPress hin, die in zusammen in immerhin ca. 160.000 Installationen des Content Management Systems (CMS) genutzt werden.

Nutzer von Advanced Access Manager, Discount Rules for WooCommerce oder Quiz and Survey Master sollten sicherstellen, dass sie ihr WordPress auf die aktuellen bereinigten Versionen upgedatet haben.

Über die Sicherheitslücken könnten Hacker zum Beispiel für Upload von Dateien, für die Rechtausweitung oder für Codeausführung aus der Ferne (Remote Code Execution) missbraucht werden.

Advanced Access Manager erlaubt die Rechteausweitung

Die Sicherheitslücke im Advanced Access Manager (AAM) vor der Version 6.6.2 hat die Einstufung „High“ und den CVSS-Score 7.5 von 10 erhalten. Eine CVE-Nummer gibt es dazu noch nicht.

Mehr als 100.000 WordPress-Nutzern verwalten mit dem Advanced Access Manager die Einstellungen für die Zugriffsrechte ihres CMS. Über eine entsprechend präparierte POST-Anfrage an wp-admin/profile.php kann man in verwundbaren Versionen bei aktiviertem „Multiple Roles“-Feature bestehende niedrige Zugriffsrechte erhöhen, und zwar bis hin zur kompletten Übernahme einer solchen WordPress-Website.

Nähere Details zu dem Problem finden Sie in einem Blogartikel des Wordfence-Teams zur AAM-Lücke. in AM in Version 6.6.2, verfügbar auf wordpress.org, gibt es Informationen zur Beseitigung.

Quiz And Survey Master macht unbefugten Datei-Upload möglich

Den Quiz and Survey Master nutzen ca. 30.000 WordPress-Installationen für die Erstelleung von Quizzen oder Umfragen (Surveys). Auch in diesem Plugin entdeckten die Sicherheitsforscher von Wordfence eine Sicherheitslücke, die schon vor zwei Wochen in einem Blogeintrag beschrieben wurde.

Sollten Sie noch immer eine Version von Quiz and Survey Master bis einschließlich 7.0.0 nuten, wäre es jetzt Zeit für ein Update, denn diesen Versionen weisen eine kritische Lücke mit CVSS-Score 10.0 auf, die auf fehlenden Kontrollmechanismen basiert.

POhne die Uploadfunktion des Plugins zum Hochladen ausgefüllter Fragebögen zu benutzen, könnten nicht authentifizierte Angreifer beispielsweise Schadcode in PHP hochladen und ausführen lassen. Bereinigt sind die Versionen ab 7.0.1 aufwärts, und aktuell ist die Version 7.02.

Eine Lückenbeschreibung des Wordfence-Teams (in Englisch) ist online und den Download von Quiz and Survey Master finden Sie auf wordpress.org

Remote Code Execution in Discount Rules for WooCommerce

Auch das Plugin Discount Rules for WooCommerce ist mit rund 30.000 WordPress-Installationen häufig im Einsatz. Damit kann man in Verbindung mit dem populären eCommerce-Plugin WooCommerce Preisnachlässe festlegen und verwalte.

In den Versionen des Plugins bis einschließlich 2.0.2 stecken nach einem Eintrag im Blog des Unternehmens WebArx mehrere Schwachstellen, die durch Cross-Site-Scripting ohne vorherige Authentifizierung für die unauthorisierte Ausführung von Programmcode aus der Ferne missbraucht werden können.

Alle Versionen ab 2.1.0 sind abgesichert. Ganz aktuell steht Download Discount Rules for WooCommerce auf wordpress.org in Version 2.1.2 zum Download bereit.

Update auf WordPress 5.5 verbessert die Sicherheit

Zu empfehlen ist generell auch ein Update auf die aktuelle WordPress-Version 5.5. Die bietet inzwischen die Möglichkeit, automatische Aktualisierungen bequemer nicht nur für WordPress selbst, sondern auch für die benutzten Plugins und Themes zu aktivieren. Im Moment sollte man beim Update allerdings noch vorsichtig sein, denn es könnte passieren, dass danach ältere Plugins und Themes, die noch veraltete jQuery-Funktionen nutzen, eventuell nicht mehr sauber laufen. Einen Workaround für davon betroffene Installationen finden Sie in dem vom WordPress Core Team entwickelten Plugin jQuery Migrate Helper.