Einmal mehr ist in einem Plug-in des beliebten Content-Management-Systems WordPress ein Sicherheitsleck aufgedeckt worden. Für einmal überliess man es aber nicht den über einer Million betroffenen Anwendern, das Update zu installieren, sondern hat laut einem Bericht von „Zdnet.de“ ein Zwangs-Update ausgerollt.

loginizer wordpress plugin okt 2020 - Sicherheitslücke im Plugin Loginizer - Zwangsupdate wird durchgeführt

Das WordPress-Team entschloss sich offenbar zu dieser nicht oft benutzten Rollout-Methode, da die Sicherheitslücke mitsamt einem Proof-of-Concept bereits veröffentlicht worden ist. Konkret handelt es sich um eine Schwachstelle im Plug-in Loginizer, das erweiterte Funktionen wie Blacklists respektive Whitelists oder eine Zwei-Faktor-Authentifizierung beim Anmeldeprozess bereitstellt. Gemäss den Ausführungen von Slavco Mihajloski, der das Leck entdeckt hat, lässt sich über eine SQL Injection Code einschleusen und so unter dem Strich eine WordPress-Website übernehmen.

Das WordPress-Team hat sich aufgrund der Schwere der Sicherheitslücke dazu entschlossen, das Loginizer-Update auf die Version 1.6.4 ohne Zustimmung der Nutzer auszurollen.