In einem beliebten WordPress-Thema und Plugin wurden Sicherheitslücken entdeckt, die es böswilligen Akteuren ermöglichen, ihre Rechte zu Admin-Rechten zu erheben. Die Sicherheitsforscher von Patchstack haben enthüllt, dass das betroffene Thema und Plugin RealHomes und Easy Real Estate sind, beide von InspiryThemes entwickelt und für die Immobilienbranche gedacht. Die Schwachstellen werden als CVE-2024-32444 und CVE-2024-32555 verfolgt und haben eine Schweregradbewertung von 9,8/10 – kritisch. Beide Lücken ermöglichen es böswilligen Akteuren, ihre Rechte zu Admin-Rechten zu erheben, wodurch sie die volle Kontrolle über die WordPress-Site erlangen und Plugins installieren, löschen oder ändern, den Inhalt verändern, sensible Daten extrahieren und mehr können. Patchstack warnte Website-Administratoren, die Ressourcen sofort zu deaktivieren, da die Schwachstellen seit Monaten bestehen und noch keine Patch verfügbar ist. Laut Patchstack hatten sie versucht, sich mehrmals mit InspiryThemes in Verbindung zu setzen und sie über die Schwachstellen zu informieren. Das Unternehmen habe angeblich nicht auf ihre Anfragen reagiert, jedoch in der Zwischenzeit drei neue Versionen für die fehlerhafte Software veröffentlicht. In allen drei Versionen wurden die Schwachstellen nicht behoben. Da sie auch in den neuesten Versionen vorhanden sind, forderte Patchstack die Benutzer auf, das Thema und das Plugin sofort zu deaktivieren, um das potenzielle Risiko einer Übernahme der Website zu minimieren. Alternativ könnten Administratoren die Benutzerregistrierung einschränken, da der Fehler nicht in einer Umgebung ausgenutzt werden kann, in der keine neuen Konten generiert werden können. Normalerweise beginnen Bedrohungsakteure, nach öffentlich gemachten Fehlern zu suchen, da verwundbare Websites leicht ausgenutzt werden können. WordPress-Plugins und -Themen bleiben aufgrund der enormen Popularität der Website-Builder-Plattform weltweit weiterhin eines der beliebtesten Ziele für Cyberkriminelle. Via BleepingComputer.