Hacker infiltriert eine Webseite durch eine Sicherheitslücke im Wordpress-Plugin Advanced Custom Fields (Symbolbild)
Hacker infiltriert eine Webseite durch eine Sicherheitslücke im Wordpress-Plugin Advanced Custom Fields (Symbolbild)
Bildquelle: Syda_Productions, Lizenz

Advanced Custom Fields: Sicherheitslücke in WordPress-Plugin ermöglicht Datenklau

Über 2 Millionen Webseiten sind wegen einer Sicherheitslücke im Wordpress-Plugin Advanced Custom Fields (Pro) anfällig für Datenklau per XSS.

Mehr als zwei Millionen WordPress-Seiten nutzen das Plugin Advanced Custom Fields (Pro), in dem ein IT-Forscher kürzlich eine neue Sicherheitslücke entdeckt hat. Diese ermöglicht es Angreifern, per XSS die Webseite zu infiltrieren und sensible Daten der Besucher zu stehlen. Ein Patch steht schon bereit, doch mehr als 70 Prozent aller Administratoren haben ihn noch nicht installiert.

Advanced Custom Fields (Pro) ist per XSS angreifbar

Dass jedes zusätzliche Plugin für die Sicherheit einer WordPress-Seite eher nachteilig ist, dürfte den meisten Administratoren bewusst sein. Dabei sind es gerade diese kleinen Helfer, die das freie Content Management System (CMS) besonders beliebt machen.

Wie ein Sicherheitsforscher kürzlich herausfand, sorgt jedoch eine Sicherheitslücke im weitverbreiteten WordPress-Plugin namens “Advanced Custom Fields (Pro)” dafür, dass derzeit Millionen von Webseiten anfällig für Cross-Site-Scripting-Angriffe (XSS) sind.

Dadurch ist es Angreifern möglich, auf betroffenen Seiten bösartigen Code einzuschleusen, den der Webbrowser anderer Besucher anschließend ausführt. Infolgedessen lassen sich beispielsweise sensible Nutzerdaten und Accounts stehlen. Auch eine Rechteausweitung auf der infiltrierten WordPress-Seite durch den Eindringling ist denkbar.

Mehr als zwei Millionen Webseiten betroffen

Einem Bericht von BleepingComputer zufolge erlangte Rafie Muhammad, ein Forscher des Cybersecurity-Unternehmens Patchstack, erst am 2. Mai 2023 Kenntnis von der Schwachstelle CVE-2023-30777. Darüber sei es eingeloggten WordPress-Benutzern möglich, einen XSS-Angriff auszuführen, sofern sie “Zugriff auf das Advanced Custom Fields Plugin haben”.

Folglich müsste ein Angreifer also zunächst auf anderem Wege in einen berechtigten Account eindringen, um die Sicherheitslücke in dem WordPress-Plugin zur Erstellung benutzerdefinierter Felder effektiv auszunutzen. Bei den über zwei Millionen aktiven Installationen des Tools ist die Spielwiese für Cyberkriminelle aber nicht gerade klein.

Zumal die Schwachstelle dem Patchstack-Bericht zufolge bereits in der Standardkonfiguration des WordPress-Plugins ausnutzbar ist. Wer das Tool also einfach nur installiert hat, ohne es wirklich zu verwenden, ist trotzdem nicht geschützt.

Advanced Custom Fields (Pro) jetzt auf Version 6.1.6 updaten

Am 4. Mai, nur zwei Tage nach ihrer Entdeckung, hat der Entwickler WP Engine die Schwachstelle in seinem WordPress-Plugin behoben. Ab Version 6.1.6 ist Advanced Custom Fields (Pro) folglich nicht mehr anfällig für Angriffe dieser Art.

Leider zeigen die offiziellen Download-Statistiken, dass noch über 70 Prozent aller WordPress-Seiten, die das Plugin installiert haben, auf eine Version vor 6.1 setzen. Administratoren sollten das Tool dringend aktualisieren, um die Besucher ihrer Webseite vor möglichen XSS-Angriffen zu schützen.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.