von Ein Sicherheitshinweis für alle WordPress Nutzer, die das Houzez-Theme und/oder –Plugin verwenden.
Laut Patchstack-Bericht soll der Fehler wohl schon länger bekannt und auch in einer älteren Version gefixt worden sein.
Scheinbar wurde der Patch aber nicht immer übernommen, sodass aktuelle Versionen wieder bzw. Immer noch angreifbar sind.
Dave Jong sagte BleepingComputer, dass Bedrohungsakteure diese Schwachstellen ausnutzen, indem sie eine Anfrage an den Endpunkt senden, der auf Anfragen zur Kontoerstellung lauscht.
Aufgrund eines Fehlers bei der Validierungsprüfung auf der Serverseite kann die Anfrage so gestaltet werden, dass ein Administratorbenutzer auf der Website erstellt wird, wodurch die Angreifer die vollständige Kontrolle über die WordPress-Website übernehmen können.
Das angesprochene Theme wird zwar vorrangig für Immobilienseiten genutzt aber das soll ja auch die Nutzung für andere Zwecke nicht ausschließen.
Quelle: Critical flaws in WordPress Houzez theme exploited to hijack websites
Bildnachweis: Image by rawpixel.com on Freepik
