close notice<\/p>\n
\n This article is also available in It was translated with technical assistance and editorially reviewed before publication.\n <\/p>\n \n Don\u2019t show this again.\n<\/p>\n Stimmen die Voraussetzungen, k\u00f6nnen Angreifer WordPress-Websites mit dem Plug-in Dokan Pro attackieren, um Admin-Accounts zu \u00fcbernehmen und Seiten zu kompromittieren.<\/p>\n Die Gefahr<\/p>\n Mit dem Plug-in setzt man Onlineshops auf, in denen sich Nutzer als Verk\u00e4ufer mit eigenen Marktplatzshops registrieren k\u00f6nnen. Nun weisen Sicherheitsforscher von Wordfence in einem Beitrag<\/a> auf eine mittlerweile geschlossene Sicherheitsl\u00fccke (CVE-2025-5931 „hoch<\/strong>„) hin.<\/p>\n Um eine Attacke einleiten zu k\u00f6nnen, m\u00fcssen Angreifer aber bereits authentifiziert sein. Ist das gegeben, k\u00f6nnen sie am fehlerhaften Code, \u00fcber den sich Nutzer als Marktplatzverk\u00e4ufer registrieren k\u00f6nnen, ansetzen und einen neuen Nutzer mit Adminrechten anlegen. Im Anschluss k\u00f6nnen sie ein eigenes Passwort festlegen und weitreichend auf die Website zugreifen. Dar\u00fcber k\u00f6nnen sie etwa Hintert\u00fcren in Onlineshops verankern.<\/p>\n Sicherheitspatch verf\u00fcgbar<\/p>\n Die Entwickler versichern, dass sie die Version 4.0.6<\/strong> gegen die geschilderte Attacke abgesichert haben. Alle vorigen Ausgaben sollen verwundbar sein. Unklar ist derzeit, ob es bereits Attacken gibt. Admins von WordPress-Websites mit diesem Plug-in sollten in den Einstellungen Ausschau nach unbekannten Accounts halten. Werden sie f\u00fcndig, sollten sie die Konten umgehend l\u00f6schen. <\/p>\n
\n English<\/a>.<\/p>\n