Hacker nutzen Sicherheitslücken bei WordPress-Plugins aus

Das Cybersicherheitsunternehmen Wordfence hat eine neue Welle von Angriffen auf zwei weit verbreitete WordPress-Plugins entdeckt. Die Schwachstellen ermöglichen es Angreifern, ohne Authentifizierung schädliche Software zu installieren und möglicherweise die Kontrolle über betroffene Websites zu übernehmen.

Über das Bug-Bounty-Programm von Wordfence wurden am 25. September 2024 und 3. Oktober 2024 Sicherheitslücken in den Plugins GutenKit und Hunk Companion gemeldet, die auf über 40.000 bzw. 8.000 aktiven Installationen laufen. Die Fehler erlauben es Angreifern, beliebige Plugins zu installieren und zu aktivieren, die für Remote-Code-Ausführung genutzt werden können.

Laut Wordfence begannen Angreifer am 8. Oktober 2025 erneut, die Schwachstellen massenhaft auszunutzen, nachdem es bereits zuvor mehrere größere Vorfälle gegeben hatte. Die Wordfence-Firewall blockierte bisher mehr als 8,7 Millionen Exploit-Versuche gegen die beiden Plugins.

Details zur Sicherheitslücke bei GutenKit

Das Plugin GutenKit – Page Builder Blocks, Patterns, and Templates for Gutenberg Block Editor ist in allen Versionen bis einschließlich 2.1.0 anfällig. Grund ist eine fehlende Funktionsprüfung in der Methode install_and_activate_plugin_from_external() des REST-API-Endpunkts „install-active-plugin“. Dadurch können Angreifer beliebige Dateien hochladen, die als Plugins getarnt sind, und diese aktivieren.

GutenKit <= 2.1.0 – Unauthenticated Arbitrary File Upload

Hunk Companion <= 1.8.4 – Fehlende Autorisierung für die Installation/Aktivierung nicht authentifizierter beliebiger Plugins

Das Hunk Companion-Plugin für WordPress ist anfällig für die unbefugte Installation/Aktivierung von Plugins, da in allen Versionen bis einschließlich 1.8.4 eine Funktionsprüfung am REST-API-Endpunkt /wp-json/hc/v1/themehunk-import fehlt. Dadurch können nicht authentifizierte Angreifer beliebige Plugins installieren und aktivieren, die zur Ausführung von Remote-Code genutzt werden können, wenn ein anderes anfälliges Plugin installiert und aktiviert ist.

Wordfence‑Firewall stoppt Millionen Exploit‑Versuche

Die Grafiken zeigen die möglichen Angriffsabläufe und die Stellen, an denen die Wordfence‑Firewall Angreifer am Ausnutzen der Schwachstellen hindert.

Die Firewall‑Regeln von Wordfence erkennen bösartige REST‑API‑Aufrufe und blockieren Anfragen, sofern sie nicht von einem bereits autorisierten Administrator stammen.

Gesamtzahl der blockierten Versuche

Seit der Aktivierung der Regeln hat die Wordfence‑Firewall mehr als 8.755.000 Exploit‑Versuche abgewehrt. Nach den vorliegenden Daten starteten Angreifer zuletzt am 8. und 9. Oktober 2025 einen groß angelegten Angriff — etwa ein Jahr nach der ersten Offenlegung. Dies unterstreicht, dass die Schwachstellen zwar bereits bekannt sind, aber weiterhin aktiv von Angreifern ausgenutzt werden.

Indikatoren für Kompromittierung

Die Angreifer versuchen, Plugins mit eingebettetem bösartigem PHP-Code auf Websites zu installieren. Es wird empfohlen, die Verzeichnisse /wp-content/plugins und /wp-content/upgrade auf verdächtige oder unbekannte Plugin-Verzeichnisse zu überprüfen. Stellen Sie sicher, dass Wordfence so konfiguriert ist, dass es Dateien in diesen Verzeichnissen scannt.

Suchen Sie im Zugriffsprotokoll einer Website nach Anfragen mit den folgenden Parametern:

• /wp-json/gutenkit/v1/install-active-plugin
• /wp-json/hc/v1/themehunk-import

Wir empfehlen außerdem, die Protokolldateien auf Anfragen zu überprüfen, die von den folgenden IP-Adressen stammen:

• 13.218.47.110
• 3.10.141.23
• 52.56.47.51
• 18.219.237.98
• 2600:1f16:234:9300:70c6:9e26:de1a:7696
• 18.116.40.45
• 119.34.179.21
• 2600:1f16:234:9300:f71:bed2:11e5:4080
• 194.87.29.184
• 3.133.135.47
• 3.141.28.47
• 3.85.107.39
• 3.148.175.195
• 193.84.71.244
• 3.147.6.140
• 3.144.26.200
• 193.233.134.136

Häufige Plugin-Verzeichnisse

• up / up.zip – böswillig erstelltes Plugin
• background-image-cropper / background-image-cropper.zip – böswillig erstelltes Plugin
• ultra-seo-processor-wp / ultra-seo-processor-wp.zip – böswillig erstelltes Plugin
• oke / oke.zip – böswillig erstelltes Plugin
• wp-query-console – legitimes WordPress-Plugin

Beteiligte Domains

• ls.fatec[.]info
• dari-slideshow[.]ru
• zarjavelli[.]ru
• korobushkin[.]ru
• drschischka[.]at
• dpaxt[.]io
• cta.imasync[.]com
• catbox[.]moe (Dateifreigabe-Website)

Die interne Analyse ergab, dass diese Domains die ZIP-Dateien hosten, die von Angreifern als Remote-Quellen für die Plugin-Installation verwendet werden.

 

---

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon