Zwei Sicherheitslücken im WordPress-Plug-in Fancy Product Designer gefährden Onlineshops. Ein Sicherheitsupdate ist bislang nicht verfügbar. Sind Attacken erfolgreich, können Angreifer Shops vollständig kompromittieren. Mit dem Plug-in können Onlineshopbetreiber unter anderem Produkte für ihren Shop gestalten.
Anzeige
Davor warnen Sicherheitsforscher von Patchstack in einem Beitrag. Die zwei Schwachstellen (CVE-2024-51919, CVE-2024-51818) sind als "kritisch" eingestuft. Sind Attacken erfolgreich, können Angreifer über die defekte Uploadfunktion Hintertüren installieren oder manipulierend auf Datenbanken zugreifen. Bislang gibt es keine Hinweise auf Attacken.
Die Forscher führen aus, die Lücken bereits im März 2024 an den Anbieter des Plug-ins gemeldet zu haben. Seitdem gab es ihnen zufolge mehrere Kontaktaufnahmen, sie haben aber bislang keine Antwort erhalten. Die aktuelle Ausgabe 6.4.3 soll nach wie vor verwundbar sein. Ob und wann ein Patch erscheint, bleibt weiterhin unklar. Bis dahin sollte man das Plug-in aus Sicherheitsgründen nicht nutzen.
(
Kommentare