Ein Sicherheitsforscher entdeckte im Ultimate Member Plugin von Wordpress eine kritische Sicherheitslücke, welche weltweit über 200.000 Webseiten angreifbar macht. Die Schwachstelle ermöglicht die Durchführung einer SQL-Injection mit anschließender Exfiltration sensibler Daten.
Bei Wordpress handelt es sich um ein populäres Content Management System (CMS). Die Schwachstelle betrifft die Plugin-Versionen 2.1.3 bis einschließlich 2.8.2. Sie entsteht durch eine unzureichende Escape-Funktion des Sortierparameters und einer fehlerhaften SQL-Abfrage.
Das Ultimate Member Team veröffentlichte bereits am 19. Februar ein Update auf die Version 2.8.3, in welcher die Sicherheitslücke geschlossen wird. In der Vergangenheit kam es immer wieder vor, dass Hacker mit teilweise staatlichen Bezügen, derartige Schwachstellen ausnutzten, um Webseiten unter ihre Kontrolle zu bringen.
Vor diesem Hintergrund rät die Cyberabwehr des Landesamts für Verfassungsschutz Baden-Württemberg Nutzern des angreifbaren Plugins zur Installation der jeweils aktuellen Plugins für WordPress, insbesondere der aktuellen Version von Ultimate Member.