DSGVO-Plugin nicht sicher
DSGVO-Plugin nicht sicher – Abmahngefahr nimmt zu
In einem WordPress-Plugin zur Unterstützung der DSGVO-Konformität wurde eine schwere Sicherheitslücke gefunden, die beispielsweise das unerlaubte Erstellen von Admin-Konten ermöglicht.
Das Plugin WP GDPR Compliance soll bei der Einhaltung der DSGVO helfen und zählt über 100.000 Installationen. Vor drei Wochen wurde im Support-Forum eines anderen Plugins ein merkwürdiges Verhalten beschrieben. So hat sich dieses Plugin ohne Zutun des Website-Betreibers mehrfach installiert und aktiviert.
Nachdem sich andere User mit demselben Problem gemeldet haben, konnte das DSGVO-Plugin als gemeinsamer Nenner der betroffenen Installationen ermittelt werden. Ein Benutzer hat durch Tests herausgefunden, dass über das Plugin mit einem nicht angemeldeten User die WordPress-Installation manipuliert werden kann.
Am 6. November wurde das Plugin aus dem Plugin-Verzeichnis von WordPress entfernt, worüber die Plugin-Entwickler in einem Support-Thread informieren. Am 7. November wurde Version 1.4.3 veröffentlicht, die von dem Plugin-Review-Team wieder freigegeben wurde. In diesem Thread berichten User davon, dass auf ihren Websites Benutzerkonten mit Admin-Rechten angelegt wurden. Wenn ihr das Plugin einsetzt, solltet ihr also dringend ein Update auf 1.4.3 vornehmen und prüfen, dass die Lücke nicht schon ausgenutzt wurde.
Momentan befinden sich die Plugin-Autoren laut des Support-Threads im Austausch mit dem Plugin-Verzeichnis-Team, um die Möglichkeit eines erzwungenen Updates für alle Installationen mit dem Plugin auszuloten. Auf dem Blog der Plugin-Website gibt es nähere Informationen zu der Sicherheitslücke.