Die Entwickler von Essential Addons for Elementor haben in der aktuellen Version eine schwere Sicherheitslücke geschlossen.

Administratoren, die in ihrer WordPress-Seite das Plugin Essential Addons for Elementor eingebunden haben, sollten diese Software jetzt auf den aktuellen Stand bringen, denn unter bestimmten Voraussetzungen könnten Angreifer darüber Schadcode ausführen lassen.

Das Problem ist auch von der Konfiguration abhängig

Nach einem Bericht der Sicherheitsforscher von Patchstack sind diese Websites nur dann verwundbar, wenn außer dem genannten Plugin noch die Widgets Dynamic Gallery und die Product Gallery aktiv sind. In dieser Konfiguration können bei der Verarbeitung von Nutzereingaben in der inlcude-Funktion von PHP Fehlern aufkommen.

Mit bestimmten Eingaben könnten Angreifer eine sogenannte Local-File-Inclusion-Attacke auslösen. Danach können die Angreifer dann den Webserver zum Beispiel dazu bringen, mit Schadcode infizierte Dateien auszuführen. Die Sicherheitslücke (CVE-2022-0320) ist mit dem Bedrohungsgrad „hoch“ eingestuft.

Am besten sofort patchen

Das Plugin weist laut WordPress mehr als 1 Million aktive Installationen im Netz auf. Die Entwickler geben jetzt an, die neue Version Essential Addons for Elementor 5.0.5 gegen Attacken dieser Art gehärtet zu haben. Alle älteren Versionen sollen verwundbar sein.