Hacker versuchen, eine Sicherheitslücke im WordPress-Plugin „Modern Events Calendar“ auszunutzen, das auf mehr als 150.000 Websites im Einsatz ist. Ziel ist es, beliebige Dateien auf anfällige Websites hochzuladen und Code aus der Ferne auszuführen.
Das Plugin wird von Webnus entwickelt und dient zur Organisation und Verwaltung von Präsenz-, virtuellen und hybriden Veranstaltungen.
Details zur Sicherheitslücke
Die betroffene Sicherheitslücke wird als CVE-2024-5441 identifiziert und hat einen hohen Schweregrad (CVSS v3.1: 8.8). Sie wurde am 20. Mai von Friderika Baranyai während Wordfence’s Bug Bounty Extravaganza entdeckt und verantwortungsvoll gemeldet.
In einem Bericht beschreibt Wordfence, dass das Problem auf fehlende Dateitypvalidierung in der Funktion „set_featured_image“ des Plugins zurückzuführen ist, die zum Hochladen und Festlegen von Titelbildern für Veranstaltungen verwendet wird.
Diese Funktion nimmt eine Bild-URL und eine Post-ID, versucht, die Anhangs-ID zu ermitteln, und wenn diese nicht gefunden wird, lädt sie das Bild über die Funktion „get_web_page“ herunter.
Das Bild wird dann mit „wp_remote_get“ oder „file_get_contents“ abgerufen und mit „file_put_contents“ im Upload-Verzeichnis von WordPress gespeichert.
Versionen des Modern Events Calendar bis einschließlich 7.11.0 überprüfen nicht den Dateityp oder die Erweiterung hochgeladener Bilddateien, sodass jede Dateiart, einschließlich gefährlicher .PHP-Dateien, hochgeladen werden kann.
Gefahr durch Remote-Code-Ausführung
Einmal hochgeladen, können diese Dateien abgerufen und ausgeführt werden, wodurch Remote-Code-Ausführung auf dem Server ermöglicht wird. Dies könnte zur vollständigen Übernahme der Website führen.
Jeder authentifizierte Benutzer, einschließlich Abonnenten und registrierter Mitglieder, kann CVE-2024-5441 ausnutzen. Ist das Plugin so konfiguriert, dass es die Einsendung von Veranstaltungen durch Nicht-Mitglieder (Besucher ohne Konto) erlaubt, ist CVE-2024-5441 auch ohne Authentifizierung ausnutzbar.
Lösung und Empfehlungen
Webnus hat die Sicherheitslücke gestern durch die Veröffentlichung der Version 7.12.0 des Modern Events Calendar behoben. Es wird dringend empfohlen, auf diese Version zu aktualisieren, um das Risiko eines Cyberangriffs zu vermeiden.
Wordfence berichtet jedoch, dass Hacker bereits versuchen, die Schwachstelle auszunutzen, und über 100 Versuche innerhalb von 24 Stunden blockiert wurden.
Angesichts der fortlaufenden Ausnutzungsversuche sollten Benutzer des Modern Events Calendar und Modern Events Calendar Lite (kostenlose Version) so schnell wie möglich auf die neueste Version aktualisieren oder das Plugin deaktivieren, bis sie das Update durchführen können.
Diese Sicherheitslücke verdeutlicht erneut die Wichtigkeit regelmäßiger Updates und der Überprüfung von Plugins auf Sicherheitslücken, um die Integrität und Sicherheit von Websites zu gewährleisten.