Durch eine Sicherheitslücke im Wordpress-Plug-in WP Reset Pro war es angemeldeten Nutzern auch ohne ausreichende Berechtigungen möglich, komplette Webauftritte damit zu löschen. Die Software hilft beispielsweise Web- und Theme-Entwicklern, rasch etwaige Änderungen in Wordpress wieder zurückzusetzen. Das Plug-in verzeichnet in der kostenlosen Version bereits mehr als 300.000 Installationen, der Hersteller spricht sogar von mehr als 400.000; die betroffene Pro-Version ist wahrscheinlich nicht so verbreitet.
IT-Sicherheitsexperten von Patchstack haben die Sicherheitslücke (CVE-2021-36909, CVSS 8.8) entdeckt und direkt dem Plug-in-Hersteller gemeldet. Nach einer Wartezeit von 6 Wochen hat Patchstack nun einen Artikel mit Details veröffentlicht. Das sollte den Plug-in-Nutzern ausreichend Zeit zur Aktualisierung auf der bereitstehende, fehlerbereinigte Version verschafft haben.
Den Sicherheitsforschern zufolge hat das WP Reset-Plugin in der Pro-Version weder die Berechtigungen, noch den zufälligen Einmal-Token der Sitzung korrekt geprüft. Und dies, obwohl das Plug-in Löschoperationen im Administrator-Kontext ausführt. Demnach konnte jeder, der einen Zugang etwa für Kommentare besitzt, einen Parameter wie %%wp übergeben und damit alle Tabellen in der Datenbank mit dem Prefix wp löschen lassen. Dies setzt die Wordpress-Instanz so weit zurück, dass beim Besuch der Seite das Wordpress neu eingerichtet wird.
Nutzer des WP Reset Pro-Plug-ins sollten das bereitstehende Update auf Version 5.99 oder neuer zeitnah einspielen. In der kostenlosen Version ist der Fehler offenbar nicht vorhanden; hier sind keine Aktionen seitens der Wordpress-Administratoren nötig.
Quelle: heise
IT-Sicherheitsexperten von Patchstack haben die Sicherheitslücke (CVE-2021-36909, CVSS 8.8) entdeckt und direkt dem Plug-in-Hersteller gemeldet. Nach einer Wartezeit von 6 Wochen hat Patchstack nun einen Artikel mit Details veröffentlicht. Das sollte den Plug-in-Nutzern ausreichend Zeit zur Aktualisierung auf der bereitstehende, fehlerbereinigte Version verschafft haben.
Den Sicherheitsforschern zufolge hat das WP Reset-Plugin in der Pro-Version weder die Berechtigungen, noch den zufälligen Einmal-Token der Sitzung korrekt geprüft. Und dies, obwohl das Plug-in Löschoperationen im Administrator-Kontext ausführt. Demnach konnte jeder, der einen Zugang etwa für Kommentare besitzt, einen Parameter wie %%wp übergeben und damit alle Tabellen in der Datenbank mit dem Prefix wp löschen lassen. Dies setzt die Wordpress-Instanz so weit zurück, dass beim Besuch der Seite das Wordpress neu eingerichtet wird.
Nutzer des WP Reset Pro-Plug-ins sollten das bereitstehende Update auf Version 5.99 oder neuer zeitnah einspielen. In der kostenlosen Version ist der Fehler offenbar nicht vorhanden; hier sind keine Aktionen seitens der Wordpress-Administratoren nötig.
Quelle: heise