Sicherheitslücke in UiCore Elements WordPress-Plugin betrifft 40.000 Websites

Am 11. August 2025 berichtet Wordfence über eine kritische Sicherheitslücke im WordPress-Plugin UiCore Elements, die rund 40.000 Websites betrifft. Die Schwachstelle erlaubt es Angreifern, beliebige Dateien auf dem Server auszulesen.

Die Lücke wurde am 13. Juni 2025 entdeckt und nutzt eine Schwäche in der Importfunktion von Elementor aus, die von UiCore Elements verwendet wird. Dadurch kann ein nicht authentifizierter Angreifer sensible Daten erlangen.

Wordfence informierte das Entwicklerteam am 18. Juni 2025, welches sich am 19. Juni 2025 auf dem Wordfence Vulnerability Management Portal registrierte. Noch am selben Tag veröffentlichte das Team einen Patch.

Nutzern wird dringend empfohlen, ihre Websites unverzüglich auf die gepatchte Version 1.3.1 von UiCore Elements zu aktualisieren.

Zusammenfassung der Sicherheitslücke von Wordfence Intelligence

UiCore Elements <= 1.3.0 – Fehlende Autorisierung zum Lesen nicht authentifizierter beliebiger Dateien

CVSS-Bewertung: 7,5 (hoch)

CVE-ID: CVE-2025-6253

Betroffene Versionen: <= 1.3.0

Gepatchte Version: 1.3

Betroffene Software

UiCore Elements – Kostenlose Elementor-Widgets und -Vorlagen

Betroffene Software-Slug

uicore-elements

Das Plugin „UiCore Elements – Kostenlose Elementor-Widgets und Vorlagen“ für WordPress ist in allen Versionen bis einschließlich 1.3.0 über die Funktion „prepare_template()“ aufgrund einer fehlenden Funktionsprüfung und unzureichender Kontrollen des angegebenen Dateinamens anfällig für das Lesen beliebiger Dateien. Dadurch können nicht authentifizierte Angreifer den Inhalt beliebiger Dateien auf dem Server lesen, die sensible Informationen enthalten können.

Weitere Details

Elementor <= 3.30.2 – Authentifiziertes (Administrator+) Lesen beliebiger Dateien über den Import von Bildern

CVSS-Bewertung: 4,9 (Mittel)

CVE-ID: CVE-2025-8081

Betroffene Versionen: <= 3.30.2

Gepatchte Version: 3.30.3

Betroffene Software

Elementor

Betroffene Software-Slug

elementor

Das Elementor-Plugin für WordPress ist in allen Versionen bis einschließlich 3.30.2 über die Funktion Import_Images::import() aufgrund unzureichender Kontrollen des angegebenen Dateinamens anfällig für das Lesen beliebiger Dateien. Dadurch können authentifizierte Angreifer mit Administratorrechten und höheren Berechtigungen den Inhalt beliebiger Dateien auf dem Server lesen, die sensible Informationen enthalten können.

Weitere Details

Entdecken Sie mehr

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky