KLEO-Theme-Plugin: Kritische Privilegieneskalations-Lücke behoben
Eine kritische Privilegieneskalation im K Elements Plugin – einem Bestandteil des beliebten KLEO WordPress-Themes – wurde behoben. Die Sicherheitslücke (CVE-2024-56000) beruht auf fehlerhafter Logik im Facebook Social-Login-Prozess.
Angreifer können dadurch mittels einfacher Angabe einer fremden E-Mail-Adresse den Authentifizierungsmechanismus umgehen und sich unberechtigt Zugriff verschaffen. Die Schwachstelle lag in der Funktion kleo_fb_intialize(), bei der keine ausreichende Überprüfung der von Facebook gelieferten Daten stattfand. Als Gegenmaßnahme wurde der Login-Prozess durch die Nutzung der Funktion kleo_verify_facebook_token_and_get_data abgesichert, um die Authentizität der übermittelten Daten sicherzustellen.
Nutzer des KLEO Themes werden dringend gebeten, das K Elements Plugin auf Version 5.4.0 bzw. das KLEO Theme auf Version 5.4.4 zu aktualisieren.