2020
19.02
WordPress-Plugin Profile Builder – Kritische Lücke

Admins, die auf WordPress-Websites das Plugin Profile Builder in der Free-, Hobbyist- oder Pro-Version einstetzen, sollten die aktuelle Version installieren. Ansonsten könnten Angreifer mit vergleichsweise wenig Aufwand die volle Kontrolle über Websites erlangen. Die als kritisch eingestufte Sicherheitslücke ist mit der Höchstwertung versehen (CVSS 3.0 Score 10 von 10). Eine CVE-Nummer wurde offensichtlich noch nicht vergeben. Angriffe können direkt über das Internet und ohne Authentifizierung stattfinden. Die Profile-Builder-Version 3.1.1 ist abgesichert. Alle vorigen Ausgaben sind einer Warnmeldung von Wordfence zufolge bedroht. Bislang soll es ihnen zufolge keine Attacken gegeben haben. Das Plugin gibt Seiten-Besuchern die Möglichkeit, Profile anzulegen und zu bearbeiten. Aufgrund der Schwachstelle könnten Angreifer Eingaben für eigentlich nicht vorhandene Felder abschicken. Legt ein Admin beispielsweise ein Formular ohne ein Feld für die Vergabe von Nutzerrechten für registrierte Nutzer an, könnte ein Angreifer so ein Admin-Konto anlegen.

zurück