Kritische WordPress-Plugin-Schwachstelle ermöglicht Angreifern Umgehung der Authentifizierung

Das Problem betrifft Versionen 3.4.0 bis 3.4.1.1 und wurde am 23. April 2026 eingeführt. Bemerkenswerterweise wurde die Lücke innerhalb identifiziert und später behoben, was verdeutlicht, wie KI-gestützte Schwachstellen-Erkennung die Ausnutzungszeitfenster verkürzt.

WordPress-Plugin-Authentifizierungs-Überwindungsschwachstelle Die Schwachstelle resultiert aus einer unzureichenden Validierung in der MainWP-Integration des Plugins, insbesondere innerhalb der Funktion is_mainwp_authenticated().

Diese Funktion verarbeitet Authentifizierungsanfragen über den HTTP-Authentifizierungsheader, überprüft jedoch die Gültigkeit der Anmeldedaten nicht. Aufgrund einer unsicheren Behandlung von Rückgabewerten behandelt das Plugin jede Nicht-Fehlerantwort der WordPress-Funktion wp_authenticate_application_password() als erfolgreiche Authentifizierung.

Technischer Hintergrund

In bestimmten Fällen gibt diese Funktion bei fehlgeschlagener Authentifizierung null statt eines Fehlers zurück, wodurch bösartige Anfragen ungeprüft durchgelassen werden.

Ein Angreifer kann diese Schwachstelle ausnutzen, indem er eine speziell gestaltete REST-API-Anfrage mit einem gültigen Administratorbenutzernamen und einem beliebigen Passwort sendet, das in einem Basic-Authentifizierungsheader codiert ist.

Das Plugin setzt dann den aktuellen Benutzerkontext auf den Zielsadministrator, wodurch dem Angreifer für die Dauer der Anfrage volle Berechtigungen gewährt werden. Eine erfolgreiche Ausnutzung ermöglicht Angreifern, Aktionen mit hohen Privilegien durchzuführen, ohne vorher authentifiziert zu sein.

Technischer Hintergrund

Beispielsweise kann eine einzelne Anfrage an den Endpunkt `/wp-json/wp/v2/users` ein neues Administrator-Konto erstellen, was einen dauerhaften Zugriff und eine vollständige Kompromittierung der Website ermöglicht.

Da die Schwachstelle alle REST-API-Endpunkte betrifft, können Angreifer die Kernfunktionalität über das Plugin hinaus missbrauchen, wodurch die Angriffsfläche erheblich vergrößert wird. Patch und Gegenmaßnahmen Das Burst Statistics-Team reagierte nach der Offenlegung schnell. Wordfence leitete am 8. Mai eine verantwortungsvolle Offenlegung ein, teilte am 11.

Mai alle Details mit, und der Anbieter veröffentlichte am 12. Mai 2026 eine gepatchte Version (3.4.2). Benutzer werden dringend aufgefordert, unverzüglich auf Version 3.4.2 oder höher zu aktualisieren, um das Risiko zu mindern. Wordfence-Kunden, die die Premium-, Care- oder Response-Tier nutzen, erhielten am 8.

Sicherheitslage und Risiko

Mai einen Firewall-Schutz, während kostenlose Benutzer den gleichen Schutz voraussichtlich am 7. Juni 2026 erhalten werden. Sicherheitsexperten warnen, dass die einfache Ausnutzung und das Fehlen einer Authentifizierung diese Schwachstelle für Bedrohungsakteure besonders attraktiv machen.

Administratoren sollten Benutzerkonten überprüfen, Logs überwachen und sicherstellen, dass Patches umgehend installiert werden, Kompromittierungen zu verhindern. Abi ist eine Sicherheitsredakteurin und Kollegin bei