Der Securityserviceanbieter Patchstack meldet eine kritisches Sicherheitsproblem mit dem WordPress-Plugin Elementor Essential Addons.
Angriffsvektor Privilege Escalation
Angreifer können Passwörter ersetzen, sofern ihnen der Nutzername bekannt ist. Damit lässt sich die WordPress Installation übernehmen. Es gibt ein neues Release mit der Nummer 5.7.2, das sofort eingespielt werden sollte. Damit wird die Lücke, die am 8.Mai 2023 gefunden wurde, geschlossen.
Elementor ist ein Plugin für WordPress, das weitere Seitengestaltungsmöglichkeiten eröffnet. Zu diesem Plugin gibt es teils kostenlose Addons mit weiteren Zusatzfunktionen. Eines dieser Addons ist Essential Addons.
Laut des WordPress Org – Pluginverzeichnisses wurde Elementor Essential Addons mehr als eine Million Mal installiert. Entsprechend viele Websites dürften betroffen sein.
Diese Sicherheitslücke bekam die Kennung CVE-2023-32243.