Laut einem aktuellen Bericht von Heise.de und Informationen unseres Rechenzentrums, erlaubt ein Fehler im beliebten Wordpress Plug-in "Slider Revolution", dass sich Hacker beliebige Dateien vom Webserver herunterladen können. Im schlimmsten Fall kann somit der komplette Server kompromittiert werden.
Das Plugin Slider Revolution wird in vielen Wordpress-Themes verwendet, um z.B. Bilder im Kopf der Webseite, Produkteinblendungen auf kommerziellen Seiten oder die Navigation zu animieren. Da die Lücke den Angreifern Zugriff auf die Konfigurationsdateien von Wordpress gewährt, können so Passwörter aus der Datenbank ausgelesen und der Server auf diese Weise angegriffen werden.
Laut dem Sicherheitsunternehmen Sucuri sind die Anzahl der Angriffe, bei denen die Slider-Revolution-Lücke genutzt wird, seit Mitte August stark angestiegen ist. Die Entwickler des Plug-ins haben die Lücke zwar schon im Februar geschlossen, dies aber nicht ausreichend publiziert. Aus diesem Grund haben viele Entwickler von Themes nichts von der Lücke mitbekommen und das Plug-in nicht aktualisiert. Der kommerzielle Theme-Anbieter Envato hat eine Liste mit Themes zusammengestellt, die Slider Revolution nutzen.
Verwundbar sind alle Versionen des Plugins bis einschließlich 4.1.4., deshalb man sollte mindestens auf die Version 4.2 updaten. Sollten Sie Slider Revolution als Teil eines Themes nutzen, welches Sie von einem externen Entwickler bezogen oder über einen Marktplatz erworben haben, sollten Sie von dem Anbieter umgehend ein Update verlangen.
Betroffene Kunden werden von uns noch gesondert informiert.
