Sicherheitslücke in WordPress-Plug-in: Beliebige Dateiuploads auf 150.000 Installationen möglich

Das WordPress-Plug-in Modern Events Calendar, das auf über 150.000 Installationen läuft, birgt eine kritische Sicherheitslücke. IT-Sicherheitsforscher von Wordfence haben entdeckt, dass Angreifer durch eine fehlende Überprüfung des Dateityps in der Funktion set_featured_image beliebige Dateien hochladen können. Diese Schwachstelle (CVE-2024-5441, CVSS 8.8) ermöglicht es Angreifern, Schadcode einzuschleusen und auszuführen, vorausgesetzt sie haben die Berechtigungsstufe „Subscriber“ oder höher. Eine aktualisierte Version des Plug-ins (7.12.0) wurde veröffentlicht, um das Problem zu beheben.

Nutzer werden dringend empfohlen, das Update so schnell wie möglich zu installieren, um sich vor potenziellen Angriffen zu schützen. Diese Sicherheitslücke reiht sich in eine Serie von Vorfällen ein, bei denen WordPress-Plug-ins als Einfallstor für Schadcode missbraucht wurden, was die Notwendigkeit betont, regelmäßig Sicherheitsaktualisierungen durchzuführen, um die Integrität von WordPress-Instanzen zu wahren.

Quelle:
https://www.heise.de/news/Wordpress-Plug-in-mit-150-000-Installation-ermoeglicht-beliebige-Dateiuploads-9794927.html

 

Wir sind Experten für Datenschutz und IT-Sicherheit

Profitieren Sie von unserer umfassenden Beratung zu den Themen Datenschutz und IT-Sicherheit. Unser erfahrenes Team unterstützt Sie dabei, Ihre Website und digitalen Dienste datenschutzkonform zu gestalten um die gesetzlichen Vorgaben zu erfüllen.

Kontaktieren Sie uns noch heute und sichern Sie sich praxisnahe Beratung zur Umsetzung der DSGVO und Normen wie ISO 27001, PCI-DSS oder TISAX.

Datenschutz und IT-Sicherheit praktikabel umsetzen – tec4net GmbH