26. Oktober 2025
Das Cybersicherheitsunternehmen Wordfence hat eine neue Welle von Angriffen auf zwei weit verbreitete WordPress-Plugins entdeckt. Die Schwachstellen ermöglichen es Angreifern, ohne Authentifizierung schädliche Software zu installieren und möglicherweise die Kontrolle über betroffene Websites zu übernehmen.
Über das Bug-Bounty-Programm von Wordfence wurden am 25. September 2024 und 3. Oktober 2024 Sicherheitslücken in den Plugins GutenKit und Hunk Companion gemeldet, die auf über 40.000 bzw. 8.000 aktiven Installationen laufen. Die Fehler erlauben es Angreifern, beliebige Plugins zu installieren und zu aktivieren, die für Remote-Code-Ausführung genutzt werden können.
Laut Wordfence begannen Angreifer am 8. Oktober 2025 erneut, die Schwachstellen massenhaft auszunutzen, nachdem es bereits zuvor mehrere größere Vorfälle gegeben hatte. Die Wordfence-Firewall blockierte bisher mehr als 8,7 Millionen Exploit-Versuche gegen die beiden Plugins.
Details zur Sicherheitslücke bei GutenKit
Das Plugin GutenKit – Page Builder Blocks, Patterns, and Templates for Gutenberg Block Editor ist in allen Versionen bis einschließlich 2.1.0 anfällig. Grund ist eine fehlende Funktionsprüfung in der Methode install_and_activate_plugin_from_external() des REST-API-Endpunkts „install-active-plugin“. Dadurch können Angreifer beliebige Dateien hochladen, die als Plugins getarnt sind, und diese aktivieren.
GutenKit <= 2.1.0 – Unauthenticated Arbitrary File Upload
CVE-ID: CVE-2024-9234
Affected Versions: <= 2.1.0
Patched Version: 2.1.1
Hunk Companion <= 1.8.4 – Fehlende Autorisierung für die Installation/Aktivierung nicht authentifizierter beliebiger Plugins
Das Hunk Companion-Plugin für WordPress ist anfällig für die unbefugte Installation/Aktivierung von Plugins, da in allen Versionen bis einschließlich 1.8.4 eine Funktionsprüfung am REST-API-Endpunkt /wp-json/hc/v1/themehunk-import fehlt. Dadurch können nicht authentifizierte Angreifer beliebige Plugins installieren und aktivieren, die zur Ausführung von Remote-Code genutzt werden können, wenn ein anderes anfälliges Plugin installiert und aktiviert ist.
CVE-ID: CVE-2024-9707
Affected Versions: <= 1.8.4
Patched Version: 1.9.0
Hunk Companion <= 1.8.5 – Fehlende Autorisierung für die Installation/Aktivierung nicht authentifizierter beliebiger Plugins
Das Hunk Companion-Plugin für WordPress ist anfällig für die unbefugte Installation/Aktivierung von Plugins, da in allen Versionen bis einschließlich 1.8.5 eine Funktionsprüfung am REST-API-Endpunkt /wp-json/hc/v1/themehunk-import fehlt. Dadurch können nicht authentifizierte Angreifer beliebige Plugins installieren und aktivieren, die zur Ausführung von Remote-Code genutzt werden können, wenn ein anderes anfälliges Plugin installiert und aktiviert ist. Dies ist eine Umgehung von CVE-2024-9707.
CVE-ID: CVE-2024-11972
Affected Versions: <= 1.8.5
Technische Analyse: Willkürliche Plugin-Installation in GutenKit und Hunk Companion
Willkürliche Installation in GutenKit
Eine Code-Analyse des GutenKit-Plugins zeigt, dass die Funktion install_and_activate_plugin_from_external() in der Klasse ActivePluginData verwendet wird, um Plugin-Installationen aus externen Quellen über den REST-API-Endpunkt gutenkit/v1/install-active-plugin zu steuern. Die Berechtigungsprüfung für die Registrierung dieses Endpunkts ist auf „true“ gesetzt, womit der Endpunkt öffentlich erreichbar ist. Dadurch können nicht authentifizierte Angreifer den Endpunkt aufrufen, Plugins aus entfernten Quellen installieren und so Remote-Codeausführung ermöglichen. Solche Schwachstellen bei der Plugin-Installation werden häufig dazu missbraucht, bösartige Pakete als legitime Plugins zu tarnen und damit Hintertüren sowie Remote-Codeausführung zu installieren.
Beliebige Plugin-Installation in Hunk Companion
Bei Hunk Companion nutzt das Plugin die Funktion tp_install() in der Klasse HUNK_COMPANION_SITES_APP, um Plugin-Installationen über den REST-API-Endpunkt hc/v1/themehunk-import zu handhaben. Auch hier ist die Berechtigungsprüfung bei der Endpunktregistrierung auf „true“ gesetzt, sodass der Endpunkt öffentlich zugänglich ist. Das ermöglicht nicht authentifizierten Angreifern, ein Plugin aus dem WordPress.org-Repository mit einer kritischen Schwachstelle zu installieren und diese anschließend auszunutzen.
Ein genauerer Blick auf die Angriffsdaten
Die vorliegenden Exploit-Versuche zeigen, wie Angreifer gezielt versuchen, ein über GitHub gehostetes Plugin mit dem Slug „up“ zu installieren — dessen Inhalt vollständig bösartig ist. Die eingesetzte bösartige ZIP-Datei enthält unter anderem ein passwortgeschütztes Skript mit All-in-One-SEO-Headern, das einen Angreifer automatisch als Administrator anmeldet; dieses Skript gehört nicht zum All in One SEO-Plugin, sondern nutzt lediglich dessen Kommentar-Header.
Weiterhin befindet sich in dem Paket ein base64-codiertes Dateiverwaltungs-Skript, das Uploads, Löschvorgänge und das Ändern von Dateiberechtigungen ermöglicht; es erlaubt das Herunterladen und Anzeigen von Dateien und das Archivieren ganzer Ordner zum Download. Mehrere weitere, stark verschleierte Datei-Uploader und -Manager sind enthalten.
Eine Datei namens vv.php beginnt mit einem gültigen PDF-Header, enthält jedoch verschleierten PHP-Code, der String-Umkehrungen, Dekomprimierung und Konvertierungsschritte ausführt: Entschlüsselt liefert die Nutzlast Tools für Massen‑Defacement, Dateiverwaltung, Netzwerk‑Sniffing, ein Terminal, Remote‑Codeausführung und die Installation weiterer Malware.
Ziel der bösartigen Komponenten ist die Persistenz: Mehrere Hintertüren sollen dauerhaften Zugriff sichern. Zudem können die Dateimanager zum Hochladen weiterer Malware genutzt werden. Hervorzuheben ist außerdem, dass das Plugin wp-query-console eine ungepatchte, nicht authentifizierte Remote‑Code‑Ausführungs‑Schwachstelle aufweist, die Angreifer vermutlich nach Ausnutzung dieser Installationsschwachstellen weiter nutzen wollen — ein Muster, das häufig angewandt wird, wenn keine beliebigen Plugins aus beliebigen Quellen installiert werden können.
Wordfence‑Firewall stoppt Millionen Exploit‑Versuche
Die Grafiken zeigen die möglichen Angriffsabläufe und die Stellen, an denen die Wordfence‑Firewall Angreifer am Ausnutzen der Schwachstellen hindert.
Die Firewall‑Regeln von Wordfence erkennen bösartige REST‑API‑Aufrufe und blockieren Anfragen, sofern sie nicht von einem bereits autorisierten Administrator stammen.
Gesamtzahl der blockierten Versuche
Seit der Aktivierung der Regeln hat die Wordfence‑Firewall mehr als 8.755.000 Exploit‑Versuche abgewehrt. Nach den vorliegenden Daten starteten Angreifer zuletzt am 8. und 9. Oktober 2025 einen groß angelegten Angriff — etwa ein Jahr nach der ersten Offenlegung. Dies unterstreicht, dass die Schwachstellen zwar bereits bekannt sind, aber weiterhin aktiv von Angreifern ausgenutzt werden.
Indikatoren für Kompromittierung
Die Angreifer versuchen, Plugins mit eingebettetem bösartigem PHP-Code auf Websites zu installieren. Es wird empfohlen, die Verzeichnisse /wp-content/plugins und /wp-content/upgrade auf verdächtige oder unbekannte Plugin-Verzeichnisse zu überprüfen. Stellen Sie sicher, dass Wordfence so konfiguriert ist, dass es Dateien in diesen Verzeichnissen scannt.
Suchen Sie im Zugriffsprotokoll einer Website nach Anfragen mit den folgenden Parametern:
- /wp-json/gutenkit/v1/install-active-plugin
- /wp-json/hc/v1/themehunk-import
Wir empfehlen außerdem, die Protokolldateien auf Anfragen zu überprüfen, die von den folgenden IP-Adressen stammen:
- 13.218.47.110
- 3.10.141.23
- 52.56.47.51
- 18.219.237.98
- 2600:1f16:234:9300:70c6:9e26:de1a:7696
- 18.116.40.45
- 119.34.179.21
- 2600:1f16:234:9300:f71:bed2:11e5:4080
- 194.87.29.184
- 3.133.135.47
- 3.141.28.47
- 3.85.107.39
- 3.148.175.195
- 193.84.71.244
- 3.147.6.140
- 3.144.26.200
- 193.233.134.136
Häufige Plugin-Verzeichnisse
- up / up.zip – böswillig erstelltes Plugin
- background-image-cropper / background-image-cropper.zip – böswillig erstelltes Plugin
- ultra-seo-processor-wp / ultra-seo-processor-wp.zip – böswillig erstelltes Plugin
- oke / oke.zip – böswillig erstelltes Plugin
- wp-query-console – legitimes WordPress-Plugin
Beteiligte Domains
- ls.fatec[.]info
- dari-slideshow[.]ru
- zarjavelli[.]ru
- korobushkin[.]ru
- drschischka[.]at
- dpaxt[.]io
- cta.imasync[.]com
- catbox[.]moe (Dateifreigabe-Website)
Die interne Analyse ergab, dass diese Domains die ZIP-Dateien hosten, die von Angreifern als Remote-Quellen für die Plugin-Installation verwendet werden.
Fachartikel
Industrielles Phishing gegen Italiens Infrastruktur: Group‑IB entdeckt automatisiertes Aruba‑Imitierendes Phishing‑Kit
Stärkung von Red Teams: Ein modulares Gerüst für Kontrollbewertungen
SAP Patch Day November 2025: Kritische Lücken in SQL Anywhere Monitor und SAP Solution Manager geschlossen
Nordkoreanische APT-Gruppe missbraucht Google Find Hub für Fernlösch-Angriffe auf Android-Geräte
DNS-Ausfallsicherheit entscheidet über die Unternehmenskontinuität
Studien
BSI-Lagebericht 2025: Fortschritte in der Cybersicherheit – Deutschland bleibt verwundbar
Forrester veröffentlicht Technologie- und Sicherheitsprognosen für 2026
Zunahme KI-gestützter Cyberbedrohungen im Fertigungssektor
KnowBe4-Studie: Personalisierte Phishing-E-Mails setzen auf die Verwendung von Firmennamen
Neue Studie: Mehrheit der US-Großunternehmen meldet KI-Risiken
Whitepaper
Vorbereitung auf künftige Cyberbedrohungen: Google veröffentlicht „Cybersecurity Forecast 2026“
Aktuelle Studie zeigt: Jeder Vierte in Deutschland bereits Opfer von digitalem Betrug
Cybersecurity in Deutschland: 200 Milliarden Euro Schaden trotz steigender IT-Ausgaben
Die EU bleibt weiterhin Ziel zahlreicher, sich überschneidender Bedrohungsgruppen
Verizon Business DBIR 2025: So können Gesundheitseinrichtungen Cyberangriffen begegnen
Hamsterrad-Rebell
Identity und Access Management (IAM) im Zeitalter der KI-Agenten: Sichere Integration von KI in Unternehmenssysteme
Infoblox zeigt praxisnahe IT-Security-Strategien auf it-sa 2025 und exklusivem Führungskräfte-Event in Frankfurt
IT-Security Konferenz in Nürnberg: qSkills Security Summit 2025 setzt auf Handeln statt Zögern
Von Palo Alto nach Paderborn: Wie eine Initiative US-Cyberfachkräfte für Deutschland gewinnen will
