Das Plug-in Fancy Product Designer kommt auf manchen Online-Shops auf den Plattformen
Wordpress, Woocommerce und Shopify zum Einsatz. Wegen einer gravierenden Zero-Day-Schwachstelle legt der Wordpress-Security-Spezialist Wordfence den Anwendern von Fancy Product Designer nun dringlich nahe, das Plug-in komplett zu deinstallieren. Denn es gibt bisher keinen Patch, das Leck wird schon aktiv ausgenutzt, und das blosse Deaktivieren verbessert die Sicherheit laut dem
Blogpost nicht.
Die Schwachstelle wird als kritisch eingestuft und ermöglicht es Angreifern, ohne Authentifizierung Files hochzuladen und beliebigen Code auszuführen. Der Upload von Bildern und Dokumenten zu einem Produkt im Online-Shop gehört zu den Kernfunktionen von Fancy Product Designer: Kunden sollen Produkte so individuell konfigurieren können. Dummerweise sind die Mechanismen zur Prüfung auf schädliche Inhalte jedoch ungenügend.
Das Problem tritt indes nur auf Wordpress- und Woocommerce-Sites auf. Online-Shops mit Shopify, die das Plug-in einsetzen, sind offenbar nicht betroffen. Der oben verlinkte Blogpost zeigt auf, wie man Sites erkennen kann, die schon kompromittiert sind.
(ubi)