Eine kritische Privilegieneskalation im K Elements Plugin – einem Bestandteil des beliebten KLEO WordPress-Themes – wurde behoben. Die Sicherheitslücke (CVE-2024-56000) beruht auf fehlerhafter Logik im Facebook Social-Login-Prozess.
Angreifer können dadurch mittels einfacher Angabe einer fremden E-Mail-Adresse den Authentifizierungsmechanismus umgehen und sich unberechtigt Zugriff verschaffen. Die Schwachstelle lag in der Funktion kleo_fb_intialize(), bei der keine ausreichende Überprüfung der von Facebook gelieferten Daten stattfand. Als Gegenmaßnahme wurde der Login-Prozess durch die Nutzung der Funktion kleo_verify_facebook_token_and_get_data abgesichert, um die Authentizität der übermittelten Daten sicherzustellen.
Nutzer des KLEO Themes werden dringend gebeten, das K Elements Plugin auf Version 5.4.0 bzw. das KLEO Theme auf Version 5.4.4 zu aktualisieren.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: