Zero-Day-Leck im E-Commerce-Plug-in Fancy Product Designer
Quelle: SITM

Zero-Day-Leck im E-Commerce-Plug-in Fancy Product Designer

Wer in seinem Wordpress- oder Woocommerce-basierten Online-Shop das Plug-in Fancy Product Designer einsetzt, sollte dieses wegen einer Zero-Day-Schwachstelle sofort deinstallieren und erst wieder einspielen, wenn es eine gepatchte Version gibt.
2. Juni 2021

     

Das Plug-in Fancy Product Designer kommt auf manchen Online-Shops auf den Plattformen Wordpress, Woocommerce und Shopify zum Einsatz. Wegen einer gravierenden Zero-Day-Schwachstelle legt der Wordpress-Security-Spezialist Wordfence den Anwendern von Fancy Product Designer nun dringlich nahe, das Plug-in komplett zu deinstallieren. Denn es gibt bisher keinen Patch, das Leck wird schon aktiv ausgenutzt, und das blosse Deaktivieren verbessert die Sicherheit laut dem Blogpost nicht.

Die Schwachstelle wird als kritisch eingestuft und ermöglicht es Angreifern, ohne Authentifizierung Files hochzuladen und beliebigen Code auszuführen. Der Upload von Bildern und Dokumenten zu einem Produkt im Online-Shop gehört zu den Kernfunktionen von Fancy Product Designer: Kunden sollen Produkte so individuell konfigurieren können. Dummerweise sind die Mechanismen zur Prüfung auf schädliche Inhalte jedoch ungenügend.


Das Problem tritt indes nur auf Wordpress- und Woocommerce-Sites auf. Online-Shops mit Shopify, die das Plug-in einsetzen, sind offenbar nicht betroffen. Der oben verlinkte Blogpost zeigt auf, wie man Sites erkennen kann, die schon kompromittiert sind. (ubi)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER