Norman Irion

Elementor Essentials – schwerwiegende Sicherheitslücken

Mehr als eine Million WordPress-Installationen verwenden das Plug-in «Essential Addons for Elementor». Durch eine schwerwiegende Sicherheitslücke können Angreifer die Kontrolle über betroffene Systeme erlangen.

Das Plug-in «Essential Addons for Elementor» ist auf über einer Million Webseiten installiert. Sicherheitsforscher haben eine kritische Schwachstelle entdeckt, die es nicht authentifizierten Angreifern ermöglicht, vollständigen Zugriff auf die WordPress-Instanz zu erhalten. Eine aktualisierte Version des Plug-ins steht bereits zur Verfügung.

Auf der offiziellen Webseite des Plug-ins ist die Version 5.7.2 verfügbar. Nutzer sollten diese dringend installieren, um die Sicherheitslücke zu schließen. Die Schwachstelle, identifiziert als CVE-2023-32243 (CVSS 9.8, als «kritisch» eingestuft), erlaubt eine Erhöhung der Systemrechte ohne vorherige Authentifizierung. Betroffen sind die Versionen von 5.4.0 bis einschließlich 5.7.1.

Details zur Sicherheitslücke in Essential Addons for Elementor

Die IT-Sicherheitsforscher von Patchstack berichten in ihrer Analyse, dass die Schwachstelle es Angreifern erlaubt, die eigenen Rechte auf einer WordPress-Seite auf das Niveau eines beliebigen Benutzers zu erhöhen. Voraussetzung dafür ist lediglich, dass der Benutzername bekannt ist.

Ein Angreifer könnte beispielsweise das Passwort eines Administrators zurücksetzen und dadurch Zugang zu dessen Konto erhalten. Laut den Forschern liegt die Ursache in einer fehlerhaften Implementierung der Passwort-zurücksetzen-Funktion, die keinen entsprechenden Validierungsschlüssel prüft. Stattdessen wird das Passwort direkt geändert.

Die Experten von Patchstack erläutern die Schwachstelle ausführlich in ihrer Analyse, einschließlich Codebeispielen. Die Entwickler des Plug-ins haben die Lücke innerhalb von drei Tagen behoben: Die Meldung erfolgte an einem Montag, und bereits am Donnerstag war eine aktualisierte Version verfügbar. Administratoren von gefährdeten WordPress-Installationen sollten das Update unverzüglich durchführen.

Bereits Anfang April wurde eine ähnliche, als hochriskant eingestufte Schwachstelle im WordPress-Plug-in Elementor Pro aktiv von Angreifern ausgenutzt. Diese hatten sich dadurch Administratorrechte auf betroffenen Webseiten verschafft.

Norman Irion

Online Marketing, SEO und Google Ads in der Schweiz. Das sind meine lieblings Keywords. Bei einer Webseiten Analyse deiner Webseite sage dir in Form eines Videos, was deine Seite taugt. Wer mehr Kunden mit seiner Webseite gewinnen möchte, bucht am besten einen Website Roast. Das Video kostet nur 250 Franken, wenn du damit auch zufrieden bist, quasi eine Zufriedenheits-Garantie. Das Angebot gilt nur für telefonische Bestellung, also gleich Anrufen. Tel +41 44 820 85 00

Social Media

Öffnungszeiten