Sicherheitslücke bei WordPress: Millionen Webseiten betroffen

Eine neue Sicherheitslücke im WordPress-Plugin Advanced Custom Fields bedroht derzeit Schätzungen zufolge rund 1,4 Millionen Webseiten, die das entsprechende Update noch nicht eingespielt haben. Es handelt sich um die Sicherheitslücke CVE-2023-30777, einen sehr gefährlichen, Cross-Site-Scripting (XSS)-Fehler, der es nicht authentifizierten Angreifern ermöglicht, vertrauliche Informationen zu stehlen und sich Rechte auf betroffenen WordPress-Websites zu verschaffen. Entdeckt wurde CVE-2023-30777 am 2. Mai 2023 von Sicherheitsforschern von Patchstack. Bereits am 5. Mai 2023 veröffentlichten sie ihre Erkenntnisse zusammen mit einem Proof of Concept (PoC), nur einen Tag nachdem der Hersteller des Plugins ein Sicherheitsupdate veröffentlicht hatte.

Bereits einen Tag nach der Veröffentlichung des PoC, also am 6. Mai 2023, begannen Cyberkriminelle das Netz aktiv nach verwundbaren WordPress-Webseiten zu durchsuchen, auf denen das Sicherheitsupdate von Advanced Custom Fields (Version 6.1.6) noch nicht eingespielt wurde. Dafür nutzen die Hacker exakt den Beispielcode, den Patchstack in seinem PoC veröffentlicht hatte, wie Sicherheitsforscher der Akamai Security Intelligence Group (SIG) beobachteten.

In Anbetracht der Tatsache, dass offenbar noch rund 1,4 Millionen Webseiten ungepatcht sind, wie eine statistische Auswertung von WordPress ergab, gibt es für die Cyberkriminellen ein breites Betätigungsfeld. Da verwundert es nicht, dass bereits 24 Stunden nach Veröffentlichung der Sicherheitslücke versucht wurde, sie aktiv auszunutzen. Zwar erfordert ein Angriff auf die XSS-Schwachstelle die Beteiligung eines eingeloggten Nutzers mit Zugriff auf das Plugin, doch die Kriminellen scheinen davon überzeugt zu sein, dass sie diese Hürde mittels Social Engineering und Phishing überwinden können. Gelingt ihnen das, können die Angreifer Schadcode ausführen, der ihnen hochprivilegierten Zugriff auf die Website gewährt. Darüber hinaus funktioniert CVE-2023-30777 unter den Standard-Einstellungen des Plugins, wodurch die Chancen, entsprechend angreifbare Webseiten zu finden, deutlich höher sind.

Webseitenbetreiber, die WordPress Advanced Custom Fields nutzen, sollten angesichts dieser Bedrohung schnellstmöglich prüfen, ob das entsprechende Update (Version 6.1.6) bereits eingespielt und die Sicherheitslücke damit geschlossen wurde. Ist das noch nicht geschehen, sollte das schnellstmöglich nachgeholt werden. Andernfalls könnte es schon bald eine unliebsame Überraschung geben.

Über die 8com GmbH & Co. KG

Über die 8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 18 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Julia Olmscheid
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel