Redrice Webdesign

In einem WordPress-Plugin zur Unterstützung der DSGVO-Konformität wurde eine schwere Sicherheitslücke gefunden, die beispielsweise das unerlaubte Erstellen von Admin-Konten ermöglicht.

Das Plugin WP GDPR Compliance soll bei der Einhaltung der DSGVO helfen und zählt über 100.000 Installationen. Vor drei Wochen wurde im Support-Forum eines anderen Plugins ein merkwürdiges Verhalten beschrieben – so hat sich dieses Plugin ohne Zutun des Website-Betreibers mehrfach installiert und aktiviert.

Nachdem sich andere User mit demselben Problem gemeldet haben, konnte das DSGVO-Plugin als gemeinsamer Nenner der betroffenen Installationen ermittelt werden und ein Benutzer hat durch Tests herausgefunden, dass über das Plugin mit einem nicht angemeldeten User die WordPress-Installation manipuliert werden kann.

Am 6. November wurde das Plugin aus dem Plugin-Verzeichnis von WordPress entfernt, worüber die Plugin-Entwickler in einem Support-Thread informieren. Am 7. November wurde Version 1.4.3 veröffentlicht, die von dem Plugin-Review-Team wieder freigegeben wurde. In diesem Thread berichten User davon, dass auf ihren Websites Benutzerkonten mit Admin-Rechten angelegt wurden – wenn ihr das Plugin einsetzt, solltet ihr also dringend ein Update auf 1.4.3 vornehmen und prüfen, dass die Lücke nicht schon ausgenutzt wurde.

Momentan befinden sich die Plugin-Autoren laut des Support-Threads im Austausch mit dem Plugin-Verzeichnis-Team, um die Möglichkeit eines erzwungenen Updates für alle Installationen mit dem Plugin auszuloten. Auf dem Blog der Plugin-Website gibt es nähere Informationen zu der Sicherheitslücke.