Sicherheitslücke bei WordPress-Plugin: WP File Manager

WP File Manager

Aktuell wurde eine Sicherheitslücke bei dem WordPress Plugin WP File Manager gemeldet. Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

Inzwischen gibt es für das bedeutendste CMS der Welt über 10.000 frei verfügbare Themes sowie 55.000+ frei nutzbare Plugins. Dadurch ergibt sich insgesamt auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese immer schnell per Update gefixt werden können.

 

Das WordPress Plugin: WP File Manager

Mit dem Dateimanager „WP File Manager“ kannst du ganz einfach Dateien hoch- und runterladen, verschieben, umbenennen, kopieren und einfügen – so kannst du deine gesamten Dateien an einem Ort verwalten. Damit brauchst du keinen umständliche ftp-Zugang mehr, sondern kannst alles im Backend erledigen. Das beliebte Plugin beinhaltet außerdem Sicherheitsfeatures, damit du deine Seite nicht so leicht beschädigen kannst.
Das Plugin zählt laut wordpress.org aktuell 600.000+ aktive Installationen.

 


 

Bekannt geworden am 01.09.2020

kritische Zero-Day – Sicherheitslücke: Unauthenticated Arbitrary File Upload leading to RCE

 

file manager zero day 2020

 

Durch diese Lücke kann ein nicht authentifizierter Nutzer (quasi jeder) beliebige Dateien hochladen und damit auch über Remote Code Execution letztlich maximalen Schaden anrichten. Vom Diebstahl der Daten über das Lahmlegen und Löschen einer Seite oder auch den Missbrauch der Seite für weitere Angriffe / um unbedarfte Besucher zu schädigen. Die PHP-Datei lib/php/connector.minimal.php konnte standarmäßig direkt geöffnet werden, wodurch lib/php/elFinderConnercotr.class.php geöffnet wurde. Diese verarbeitet POST/GET-Variablen, wodurch einige interne Features, wie der Datei-Upload ausgeführt werden konnte. Das wiederum führte schließlich zu unauthentifiziertem Upload beliebiger Dateien, sowie dem Problem, dass ein Angreifer beliebigen Code auf dem System ausführen konnte.

Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version 6.9 aktualisiert wird. Deaktivieren genügt hier explizit nicht, dann lieber deinstallieren.
Quelle: https://wpvulndb.com/vulnerabilities/10389
Mehr dazu (Englisch):
https://seravo.com/blog/0-day-vulnerability-in-wp-file-manager/ (Seite der Submitter)
https://blog.nintechnet.com/critical-zero-day-vulnerability-fixed-in-wordpress-file-manager-700000-installations/
https://www.wordfence.com/blog/2020/09/700000-wordpress-users-affected-by-zero-day-vulnerability-in-file-manager-plugin/

 

Falls du über den HostPress SecurePlan verfügst, haben wir das entsprechende Update bereits für dich durchgeführt.

 


Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.

 


 

 

Bekannt geworden am 26.08.2020:

Sicherheitslücke: Backup File Directory Listing

Das WordPress-Plugin ermöglicht den Diebstahl der Backup-Files und damit deiner Daten inklusive etwaiger Kundendaten. Der externe Zugriff auf das Verzeichnis fm_backups war nicht durch die .htaccess geschützt. 
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version 6.5 aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10374

Falls du über den HostPress SecurePlan verfügst, haben wir das entsprechende Update bereits für dich durchgeführt.


 

Bekannt geworden am 10.07.2019:

Sicherheitslücke: Multiple Vulnerabilities

Weil die Authentifizierung in der wp_ajax * action calls nicht überprüft wird, eröffnen sich mehrere Angriffsflächen. Dies reicht von SQL-Injektion über die Möglichkeit Backups herunterzuladen, oder zu löschen.
Um diese Sicherheitslücke zu schließen, sollte das Update auf die aktuelle Version 4.9 durchgeführt werden.
Quelle: https://wpvulndb.com/vulnerabilities/9446


 

Bekannt geworden am 09.06.2018:

Sicherheitslücke: Authenticated Cross-Site Scripting (XSS)

Der anfällige Code ermöglicht es ungefiltert Befehle über die URL auszuführen, die vom Plug-In nicht bereinigt werden können. Die Sicherheitslücke betrifft die Versionen 2.9 und älter.
Quelle: https://wpvulndb.com/vulnerabilities/9126


 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.