Wichtiger Hinweis für Betreiber von WordPress-Sites, die das Statistik-Plugin WP Statistics installiert haben. Ältere Versionen des PlugIns enthalten eine SQL-Injection-Lücke, über die Angreifer die WordPress-Site sensitive Informationen abrufen können.
Anzeige
Entdeckt wurde die Sicherheitslücke vom Team des Sicherheitsanbieters Sucuri, die das Ganze bereits am 30. Juni 2017 veröffentlicht haben. Das Plugin ist auf über 300.000 Seiten installiert. Auch hier im Blog läuft das Plugin mit – die Sicherheitslücke ließ sich hier aber nicht ausnutzen.
Die SQL-Injection-Lücke ließ sich nur ausnutzen, wenn die Angreifer ein Konto für den betreffenden WordPress-Auftritt hatten, welches mindestens Abonnentenrechte beinhaltet. Dann ließen sich Abfragen mittels wp_statistics_searchengine_query() missbrauchen.
Das Sucuri-Team hat die Plugin-Entwickler kontaktiert, die dann das Plugin aktualisiert haben. Ab der Version 12.0.8 ist diese Sicherheitslücke gefixt. In meinem Blog habe ich gesehen, dass das Plugin gestern sogar auf die Version 12.0.8.1 aktualisiert wurde. Wer also eine ältere Version von WP Statistics vor 12.0.8 betreibt, sollte dieses Plugin aktualisieren. (via)
Anzeige
