{"id":202401,"date":"2025-06-19T10:43:09","date_gmt":"2025-06-19T10:43:09","guid":{"rendered":"https:\/\/www.europesays.com\/de\/202401\/"},"modified":"2025-06-19T10:43:09","modified_gmt":"2025-06-19T10:43:09","slug":"wordpress-ai-engine-plug-in-reisst-sicherheitsluecke-in-100-000-webseiten","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/de\/202401\/","title":{"rendered":"WordPress: AI-Engine-Plug-in rei\u00dft Sicherheitsl\u00fccke in 100.000 Webseiten"},"content":{"rendered":"

Im WordPress-Plug-in AI Engine k\u00f6nnen Angreifer eine Sicherheitsl\u00fccke missbrauchen, um ihre Rechte auszuweiten und so die volle Kontrolle \u00fcber die Webseite zu \u00fcbernehmen. Das Plug-in ist auf mehr als 100.000 WordPress<\/a>-Webseiten installiert. Ein Update zum Schlie\u00dfen des Sicherheitslecks steht seit kurzem zur Verf\u00fcgung.<\/p>\n

Die IT-Forscher von Wordfence haben die Sicherheitsl\u00fccke entdeckt. Laut der Sicherheitsmitteilung von Wordfence<\/a> geht das Problem auf eine unzureichende Autorisierung zur\u00fcck, die die Ausweitung der Nutzerrechte \u00fcber eine Schwachstelle in MCP (Model Context Protocol) im Plug-in AI Engine erm\u00f6glicht. „Die Schwachstelle k\u00f6nnen authentifizierte Angreifer ausnutzen, die Zugriffsrechte auf Subscriber-Level oder h\u00f6her haben, um vollen Zugriff auf das MCP zu erlangen und diverse Befehle wie ‚wp_update_user‘ auszuf\u00fchren und so ihre Zugriffsrechte auf Administrator durch die Aktualisierung ihrer User-Role auszuweiten“, erkl\u00e4ren die IT-Sicherheitsforscher (CVE-2025-5071 \/ noch kein EUVD, CVSS 8.8<\/strong>, Risiko „hoch<\/strong>„). <\/p>\n

Ausnutzbarkeit eingeschr\u00e4nkt<\/p>\n

Die Schwachstelle lasse sich dann missbrauchen, wenn die Dev-Tools und das MCP in den Einstellungen aktiviert wurden. Standardm\u00e4\u00dfig sind diese abgeschaltet. <\/p>\n

Die seit Mittwoch der Woche verf\u00fcgbare Version 2.8.4 von AI Engine<\/a> dichtet das Sicherheitsleck ab. Wer das Plug-in auf WordPress-Instanzen einsetzt, sollte die Aktualisierung nicht lange aufschieben, sondern zeitnah durchf\u00fchren.<\/p>\n

Mitte Mai wurden Sicherheitsl\u00fccken in dem Plug-in TheGem bekannt, die mehr als 82.000 WordPress-Seiten gef\u00e4hrdet haben, sodass Angreifer h\u00e4tten Schadcode einschleusen k\u00f6nnen. Ein Update steht daf\u00fcr zur Verf\u00fcgung. F\u00fcr eine Sicherheitsl\u00fccke in TI WooCommerce Wishlist von Ende Mai<\/a> war das zun\u00e4chst nicht der Fall, auch sie erm\u00f6glichte b\u00f6sartigen Akteuren das Hochladen von Schadcode. Die mit CVSS-H\u00f6chstwert 10.0 von 10 m\u00f6glichen Punkten als „kritisch<\/strong>“ eingestufte L\u00fccke klaffte bis in Version 2.9.2 des WordPress-Plug-ins. Inzwischen steht dort die Version 2.10.0 des Plug-ins<\/a> zur Verf\u00fcgung \u2013 laut Patchstack<\/a> soll sie die Schwachstelle ausbessern.<\/p>\n

(dmk<\/a>)<\/p>\n

\n Dieser Link ist leider nicht mehr g\u00fcltig.\n <\/p>\n

Links zu verschenkten Artikeln werden ung\u00fcltig,
\n wenn diese \u00e4lter als 7\u00a0Tage sind oder zu oft aufgerufen wurden.\n <\/p>\n

Sie ben\u00f6tigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen \u2013 ohne Verpflichtung!<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"Im WordPress-Plug-in AI Engine k\u00f6nnen Angreifer eine Sicherheitsl\u00fccke missbrauchen, um ihre Rechte auszuweiten und so die volle Kontrolle…\n","protected":false},"author":2,"featured_media":202402,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[135],"tags":[66164,10308,29,30,196,66165,190,189,1687,4970,10312,194,191,193,192,8527],"class_list":{"0":"post-202401","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wissenschaft-technik","8":"tag-ai-engine","9":"tag-alert","10":"tag-deutschland","11":"tag-germany","12":"tag-it","13":"tag-plug-in","14":"tag-science","15":"tag-science-technology","16":"tag-security","17":"tag-sicherheitsluecken","18":"tag-sicherheitsupdates","19":"tag-technik","20":"tag-technology","21":"tag-wissenschaft","22":"tag-wissenschaft-technik","23":"tag-wordpress"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@de\/114709620730785066","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/202401","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/comments?post=202401"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/202401\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media\/202402"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media?parent=202401"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/categories?post=202401"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/tags?post=202401"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}