Zwei kritische Sicherheitslücken im WordPress-Plugin „Spam Protection, Anti-Spam und FireWall“ könnten es einem nicht authentifizierten Angreifer ermöglichen, bösartige Plugins auf anfälligen Websites zu installieren und zu aktivieren, was potenziell zur Ausführung von Remote-Code (RCE) führen könnte.

Die Schwachstellen, die unter den IDs CVE-2024-10542 und CVE-2024-10781 verfolgt werden, haben im CVSS-System eine hohe Schwerebewertung von 9,8 von 10 erhalten. Die Probleme wurden in den Plugin-Versionen 6.44 und 6.45 behoben, die diesen Monat veröffentlicht wurden.

Überblick über das Plugin

Das Plugin von CleanTalk, das auf über 200.000 WordPress-Websites installiert ist, wird als ein „universelles Anti-Spam-Plugin“ beworben. Es soll Spam-Kommentare, unerwünschte Registrierungen, Umfragen und mehr blockieren.

Details zu den Sicherheitslücken

Laut Wordfence betreffen beide Schwachstellen ein Problem mit der Umgehung von Berechtigungen, das es Angreifern ermöglicht, beliebige Plugins zu installieren und zu aktivieren. Wenn eines dieser Plugins selbst anfällig ist, könnte dies zur Ausführung von Remote-Code führen.

1. CVE-2024-10781

• Diese Schwachstelle resultiert aus einem fehlenden Prüfmechanismus für leere Werte in der api_key-Variable der Funktion perform. Diese Schwachstelle betrifft alle Versionen des Plugins bis einschließlich 6.44.
• Der Sicherheitsforscher István Márton erklärte, dass diese Lücke es ermöglicht, beliebige Plugins ohne Berechtigung zu installieren.

1. CVE-2024-10542

• Diese Schwachstelle basiert auf der Umgehung von Berechtigungen durch gefälschtes Reverse-DNS-Spoofing in der Funktion checkWithoutToken().

Erfolgreiche Ausnutzung dieser Schwachstellen könnte es Angreifern ermöglichen, Plugins zu installieren, zu aktivieren, zu deaktivieren oder sogar zu deinstallieren.

Empfehlungen

Website-Betreibern, die dieses Plugin verwenden, wird dringend empfohlen, auf die neueste gepatchte Version (6.45 oder neuer) zu aktualisieren, um sich vor möglichen Angriffen zu schützen.

Sicherheit im WordPress-Ökosystem

Diese Schwachstellen treten in einer Zeit auf, in der die Sicherheit von WordPress-Websites zunehmend in den Fokus rückt. Die Sicherheitsfirma Sucuri warnte kürzlich vor mehreren aktiven Kampagnen, bei denen kompromittierte WordPress-Websites genutzt werden, um:

• Schadcode einzuschleusen, der Besucher auf betrügerische Websites umleitet.
• Anmeldedaten durch Phishing-Angriffe zu stehlen.
• Schadsoftware zu verbreiten, die Admin-Passwörter stiehlt.
• Nutzer auf betrügerische Seiten wie VexTrio Viper umzuleiten.
• Willkürlichen PHP-Code auf Servern auszuführen.

Da WordPress weltweit weit verbreitet ist, sollten Benutzer ihre Plugins regelmäßig aktualisieren, starke Passwörter verwenden und ihre Websites auf verdächtige Aktivitäten überwachen.