Verbreitetes WordPress-Plugin für den Newsletter-Versand: Webseiten können gehackt werden

Ein verbreitetes WordPress-Plugin für den Versand von Newslettern kann als Einfallstor für Hacker genutzt werden. Wer auf Nummer Sicher gehen will, muss das gerade veröffentlichte Update installieren.

Das WordPress-Plugin "MailPoet", das zuvor unter dem Namen wysija-newsletters bekannt war, kann von Hackern genutzt werden, um die Kontrolle über Webseiten zu übernehmen, auf denen das Plugin installiert und aktiviert ist. Die Sicherheitslücke ermöglicht es, beliebige Dateien auf die Ziel-Webseite hochzuladen. Eine Authentifizierung ist dazu nicht erforderlich.

Ein Hacker kann beispielsweise PHP-Dateien hochladen, die ihn dann in die Lage versetzen, beliebige Aktionen wie das Versenden von Spam oder das Infizieren anderer Webseiten auf Shared Servern durchzuführen.

Vor kurzem wurde ein Update veröffentlicht, welches die Sicherheitslücke schließt. Es trägt die Versionsnummer 2.6.7. Inzwischen liegt sogar die Version 2.6.8 vor, die hier heruntergeladen werden kann.

Das Plugin wurde bereits mehr als 1,7 Millionen Mal heruntergeladen.

{extravote 1}