Elementor Pro ist ein viel genutztes WordPress-Plug-in. Es enthält ein Sicherheitsleck, das von Experten als hoch riskant eingestuft und bereits von Cyberkriminellen missbrauch wurde. Deshalb sollten Admins umgehend reagieren und Updates installieren, das Leck schließen.
Sicherheitsleck in Versionen Pro mit Woodcommerce
Erst vor kurzem wurde die Sicherheitslücke in Elementor Pro entdeckt und geschlossen. Es stehen Updates zur Verfügung, die die Schwachstelle schließen. Jetzt haben Sicherheitsforscher von Patchstack gemeldet, dass die Sicherheitslücke aktiv von Hackern angegriffen wird und raten zu schnellem Handeln. Können die Angreifer in das System eindringen, haben sie den administrativen Zugang zu den zugehörigen Wordpress-Websites.
WordPress
gibt an, das Elementor Pro auf mehr als 5 Millionen WordPress
Websites installiert ist. Von der Schwachstelle sind die „Pro“
Versionen betroffen, die in Kombination mit Woodcommerce installiert
sind. Das Problem ist die Komponente
„elementor-pro/modules/woocommerce/module.php“
mittels derer Ajax-Aktionen registriert werden.
Eine dieser Aktionen überprüft die Nutzereingaben mangelhaft und beschränkt den Zugang nicht – wie die anderen Aktionen – auf sogenannte „hoch privilegierte“ Nutzer, also Admins. Hacker können so alle weiteren Schutzmaßnahmen dieser Aktion umgehen und in das System eindringen. Es besteht nun die Möglichkeit, ein Administrator-Konto anzulegen und die Sicherheitslücke zu missbrauchen.
Von der Schwachstelle betroffen sind die Elementor Versionen vor 3.11.7. Derzeit ist die Version 3.12.0 im Umlauf und Administratoren, die Wordpress Sites mit Elementor Pro und Woodcommerce sollten prüfen, welche Version sie verwenden und mindestens auf die Version 3.11.7, besser aber auf die aktuelle Version updaten.