Das Sicherheitsunternehmen Sucuri hat eine neue Sicherheitslücke im MailPoet-Plugin für WordPress angekündigt , die Version 2.6.6 und wahrscheinlich niedrigere Versionen betrifft .
Das MailPoet-Plugin wird zum Versenden von Newslettern aus WordPress verwendet. Nach der Prüfung durch die Firma Sucuri wurde diese neue Sicherheitslücke aufgedeckt, die es jedem böswilligen Benutzer ermöglicht, eine Datei mit einer PHP-Erweiterung auf den Server hochzuladen und die Kontrolle darüber zu übernehmen .
MailPoet verfügt über mehr als 1.700.000 Downloads, was diese Sicherheitsanfälligkeit zu einem sehr schwerwiegenden Problem macht, das die Sicherheit vieler Server gefährden kann. Version 2.6.7 wurde bereits veröffentlicht und bietet eine Lösung für dieses Problem. Sie sollten daher so bald wie möglich ein Update durchführen, sofern dies noch nicht geschehen ist.
Schwachstellenanalyse im MailPoet 2.6.6 Plugin für WordPress
Laut dem offiziellen Sucuri-Newsletter kann jeder Benutzer ohne Authentifizierung und ohne Berechtigungen eine Datei auf den anfälligen WordPress-Server hochladen.
Dieses Plugin ist eines der offensichtlichsten Beispiele für schlechte Praktiken von Entwicklern beim Erstellen von Plugins. Der Entwickler verwendet den admin_init- Hook, um zu überprüfen, ob der Benutzer Dateien hochladen kann. Laut offizieller WordPress-Dokumentation wird dieser Hook jedoch nicht nur auf dem Administratorbildschirm ausgeführt, sondern auch, wenn /wp-admin/admin-ajax.php
ausgeführt wird und /wp-admin/admin-post.php
. Auf diese Weise kann ein angreifender Benutzer die Funktionalität zum Hochladen von MailPoet-Designs nutzen und die Serversicherheit gefährden.
Aus all dem sollten Entwickler eines lernen: Verwenden Sie niemals den admin_init-Hook als Authentifizierungsmethode . Und als Benutzer sollten wir lernen, dass das Aktualisieren der Plugins in ihren neuesten Versionen der erste Schritt in Richtung einer sicheren WordPress-Installation ist .
Wenn Sie es für angebracht halten, können Sie mir helfen, diese Nachrichten über soziale Netzwerke zu verbreiten, damit sie alle MailPoet-Benutzer erreichen.