Eine kritische Sicherheitslücke wurde im beliebten und millionenfach installierten WordPress-Plug-in „Essential Addons for Elementor“ entdeckt. Die Lücke ermöglicht nichtauthentifizierten Angreifern die vollständige Übernahme der WordPress-Instanz.
Eine aktualisierte Version des Plug-ins (5.7.2) wurde bereits veröffentlicht, diese sollte möglichst schnell installiert werden. Die erkannte Lücke erlaubt es, dass Angreifer Passwörter zurücksetzen und sich als Administrator anmelden können. Betroffen sind nach unserem Kenntnisstand die Versionen 5.4.0 bis 5.7.1 des Plug-ins.
IT-Forscher von Patchstack haben die Lücke gemeldet und das Plug-in wurde innerhalb von drei Tagen aktualisiert.
Es wird empfohlen, das Update umgehend zu installieren oder das Plug-in nicht mehr zu nutzen, um Angriffe zu verhindern. Bereits im April wurde eine hochriskante Sicherheitslücke im WordPress-Plug-in „Elementor Pro“ von Angreifern ausgenutzt, um administrativen Zugang zu WordPress-Websites zu erlangen.
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
————————————————————————————————————————-
Quellen und Links:
Webseite zum Plug-in
https://wordpress.org/plugins/essential-addons-for-elementor-lite
Meldung von Patchstack
https://patchstack.com/articles/critical-privilege-escalation-in-essential-addons-for-elementor-plugin-affecting-1-million-sites
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX und PCI-DSS.