Unauthentifizierte SQL-Injection-Schwachstelle in WP Statistics

Wie Wordfence am 11. Februar 2022 meldete, hat ein Sicherheitsexperte namens Cyku Hong von DEVCORE eine Schwachstelle in WP Statistics entdeckt. WP Statistics ist ein lokal auf dem jeweiligen Webserver eingerichtetes Analyseplugin dass über 600.000 Websites installiert ist und Analysedaten nur in der lokalen Datenbank speichert, d.h. nicht an Dritte weitergibt oder an externe Drittserver. Deswegen ist WP Statistics gerade in EU-Ländern sehr beliebt.

Die gefundene Schwachstelle ermöglichte es nicht authentifizierten Angreifern, beliebige SQL-Abfragen auszuführen, indem sie diese an eine bestehende SQL-Abfrage anfügten. Auf diese Weise konnten laut Wordfence sensible Informationen wie Passwort-Hashes und geheime Schlüssel aus der Datenbank extrahiert werden.

Alle Wordfence-Nutzer, einschließlich Free, Premium, Care und Response, sind dank des integrierten SQL-Injection-Schutzes der Wordfence Firewall vor Exploits geschützt, die auf diese Sicherheitslücke abzielen.

Trotzdem wird jedem Website-Betreiber eine umgehende Aktualisierung des Plugins auf die Version mindestens 13.1.5 empfohlen.

Eine große Rolle bei der Schwachstelle hat die Funktion “Datensatzausschlüsse bzw. Ausschlüsse aufzeichnen”. Wenn diese Funktion aktiviert ist, was sie unseres Erachtens nach per Default nicht ist, konnte in Kombination mit einem Cache-Plugin die Schwachstelle zum Tragen kommen und die in einer gesonderten Datenbanktabelle gesammelten Daten zum Verhängnis werden.

Wie gesagt wird jedem Website-Betreiber empfohlen, kurzfristig ein Update auf mind. Version 13.1.5 durchzuführen.

Ausführliche Informationen zu diesem Thema hier: Wordfence – Unauthenticated SQL Injection Vulnerability Patched in WordPress Statistics Plugin

Sie möchten Ihre Website zeitnah und zuverlässig durch uns aktualisieren, warten und pflegen lassen? Nehmen Sie Kontakt auf für weitere Informationen.