4 Millionen WordPress-Seiten mit WooCommerce-Plug-in von Übernahme gefährdet

Aufgrund einer Schwachstelle im Online-Shop-Plug-in WooCommerce könnten Angreifer WordPress-Seiten attackieren. Ein Sicherheitsupdate ist verfügbar.

In Pocket speichern vorlesen Druckansicht 15 Kommentare lesen
4 Millionen WordPress-Seiten mit WooCommerce-Plug-in vor Übernahme gefährdet

(Bild: QuinceMedia)

Lesezeit: 2 Min.

Rund 4 Millionen Onlineshops auf WordPress-Basis mit dem Plug-in WooCommerce sind attackierbar. Stimmten die Voraussetzungen, könnten Angreifer Admin-Accounts übernehmen und so die Kontrolle von kompletten Websites an sich reißen. Davor warnen Sicherheitsforscher von Ripstech in einem Blog-Beitrag. Mittlerweile ist die abgesicherte Version von WooCommerce 3.4.6 erschienen.

Damit ein Übergriff klappt, muss ein Angreifer Zugriff auf einen Shop-Manager-Account haben. Anschließend kann er über eine Lücke in WooCommerce für den Plug-in-Betrieb nötige Dateien löschen (File-Deletion-Attacke) und es so deaktivieren. Nun ist ein Angreifer in der Lage, Admin-Accounts von WordPress-Seiten zu ändern, um diese zu übernehmen.

Das liegt daran, weil WooCommerce – wie auch andere Plug-ins – sich nicht um die Rechteverwaltung von Accounts kümmert, sondern dies WordPress überlässt. Problematisch dabei ist: WordPress stattet das Shop-Manager-Konto mit den Rechten aus, bestehende Accounts – auch von Admins – anzupassen.

Sicherheitsmechanismen von WooCommerce sorgen wiederum dafür, dass ein "einfacher" Shop Manager keine Admin-Accounts bearbeiten kann. Aufgrund der File-Deletion-Attacke sind in diesem Fall mit dem Plug-in aber auch die einschränkenden Filter deaktiviert und ein Shop Manager kann bei einem Admin-Konto beispielsweise das Passwort ändern. Da das Shop-Manager-Konto in der WordPress-Datenbank ist, bleibt es erhalten, selbst wenn das Plug-in nicht mehr läuft.

Eigenen Angaben zufolge hat Ripstech die Lücke Ende August gemeldet und der Sicherheitspatch ist im Oktober erschienen. Admins sollten prüfen, ob mindestens die Version 3.4.6 von WooCommerce installiert ist. (des)