Laut The Hacker New sind zwei WordPress-Plugins, Malware Scanner und Web Application Firewall von miniOrage, anfällig für eine schwerwiegende Sicherheitslücke namens CVE-2024-2172, die von Stiofan entdeckt wurde und auf einer 10-Punkte-Skala des CVSS-Bewertungssystems für Sicherheitslücken einen Schweregrad von 9,8 aufweist.

Der Fehler hat weitreichende Auswirkungen, denn obwohl der Entwickler ihn am 7. März 2024 aus dem WordPress App Store entfernt hat, kann er immer noch Auswirkungen haben, da Malware Scanner auf bis zu 10.000 Websites installiert und aktiv ist, während es bei der Web Application Firewall 300 sind.

Laut Wordfence sei die Sicherheitslücke auf eine fehlende Überprüfung im Code des Plug-Ins zurückzuführen, die es einem nicht authentifizierten Angreifer ermögliche, das Passwort eines beliebigen Benutzers beliebig zu aktualisieren und die Berechtigungen auf den Administrator auszuweiten, was möglicherweise zu einer vollständigen Kompromittierung der Website führe.

Mit Administratorrechten können Hacker problemlos zusätzliche Plug-Ins und schädliche ZIP-Dateien mit Hintertüren herunterladen und Website-Beiträge ändern, um Benutzer auf andere schädliche Websites umzuleiten.

Zuvor wurde ein ähnliches Plugin, RegistrationMagic, mit dem Fehlercode CVE-2024-1991 und einem CVSS-Score von 8,8 gemeldet, bei dem es sich ebenfalls um eine Sicherheitslücke mit hohem Schweregrad und Privilegienausweitung handelt. Auch dieses Plugin wurde über 10.000 Mal heruntergeladen und installiert.

WordPress ist ein beliebtes Open-Source-Content-Management-System (CMS), das weltweit weit verbreitet ist. Die einfache Installation, das Hochladen und Verwalten von Inhalten auf dieser CMS-Plattform macht WordPress zu einer idealen Plattform für Websites wie Online-Shops, Portale, Diskussionsforen usw. Laut w3techs wird diese CMS-Plattform derzeit von 43,1 % der Websites weltweit gewählt.