In den populären Premium-Wordpress-Themes Divi und Extra, nebst dem zugehörigen Divi Builder hat Anbieter Wordfence kritische Sicherheitslücken im Upload-Mechanismus entdeckt.
Divi, Extra und der Divi Builder stammen vom Anbieter Elegant Themes, der bereits geptachte Versionen seiner Plugins anbietet. Betroffen von den Problemen sind Divi 3.0 und höher, der Divi Builder ab Version 2.0 und Extra ab Version 2.0. Die Versionen 4.5.3 beheben das Problem und sollten von Nutzern sofort eingespielt werden.
Laut dem WordPress-Spezialisten Wordfence, der die Lücken entdeckt hat, ist die Upload-Funkion für die Probleme verantwortlich. Die versage bei der Dateiprüfung, so Wordfence und setze so nach egenen Schätzungen rund 700.000 Webseiten einem Risiko aus. Dieses bestehe im Upload von beliebigen Files, darunter auch PHP-Dateien, um damit remote Code ausführen zu können. Ein erfolgreicher Angriff setze allerdings einen bestehenden Zugang zur Site voraus, das Minimum sei die Contributor-Rolle. Letztere ermöglicht angemeldeten Nutzern das Lesen, Editieren und Löschen eigener Posts. Wordfence beschreibt das Sicherheitsproblem in seinem Beitrag genauer.
