Wer schon immer mal Administrator einer fremden WordPress-Seite sein wollte, hatte es in den letzten Wochen besonders leicht - zumindest wenn dort das Plugin Advanced Custom Fields Extended (ACFE) im Einsatz war. Eine kritische Schwachstelle in der Funktion insert_user() ermöglichte es Angreifern, sich ganz ohne Passwort oder vorherige Anmeldung die höchsten Rechte auf einer Website zu erschleichen. Es ist der Klassiker unter den Sicherheits-Fails: Das Plugin bietet zwar Einstellungen an, um Benutzerrollen zu beschränken, vergisst dann aber im entscheidenden Moment, diese Regeln auch tatsächlich durchzusetzen.
Betroffen sind alle Versionen bis einschließlich 0.9.2.1. Der Fehler liegt im Formular-Manager des Plugins, der eigentlich dafür gedacht ist, die Registrierung von Nutzern komfortabler zu gestalten. Dass „komfortabel“ in diesem Fall auch „völlig schutzlos“ bedeutete, dürfte die über 100.000 aktiven Nutzer wenig begeistern. Ein Angreifer musste lediglich ein entsprechendes Formular finden und konnte sich über das Rollen-Feld selbst zum Admin befördern.
Sobald man erst einmal im Cockpit sitzt, stehen einem alle Türen offen. Ob man nun Backdoors installiert, den Content manipuliert oder die Seite in eine Spam-Schleuder verwandelt, bleibt der Kreativität des Angreifers überlassen. Die Entwickler haben zum Glück reagiert und mit der Version 0.9.2.2 einen Patch veröffentlicht, der diese unfreiwillige Rechtevergabe unterbindet. Wer das Plugin nutzt und Formulare zur Benutzerverwaltung erstellt hat, sollte also nicht lange fackeln und das Update einspielen.
Sicherheitsforscher von Wordfence geben allerdings eine kleine Entwarnung für die breite Masse: Die Lücke ist nur dort aktiv ausnutzbar, wo auch tatsächlich ein Formular mit der Aktion „Benutzer erstellen“ oder „Benutzer aktualisieren“ öffentlich zugänglich ist. Das reduziert den Kreis der potenziellen Opfer zwar etwas, ändert aber nichts daran, dass eine solche Lücke in einem so weit verbreiteten Tool eigentlich nicht vorkommen sollte. Es zeigt einmal mehr, dass man im WordPress-Ökosystem besser zweimal hinschaut, wem man die Kontrolle über die eigene Datenbank anvertraut.
Kommentare (0)