„`html
Zusammenfassung
Das WP ERP Pro Plugin für WordPress enthält eine kritische SQL-Injection-Schwachstelle im Parameter ’search_key‘. Durch unzureichende Eingabevalidierung und fehlende SQL-Prepared-Statements können unauthentifizierte Angreifer eigene SQL-Befehle einschleusen und so auf sensible Datenbankeinträge zugreifen.
Betroffene Systeme
Das WP ERP Pro Plugin ist in allen Versionen bis einschließlich 1.5.1 anfällig. Die Schwachstelle betrifft WordPress-Installationen, auf denen dieses Plugin aktiv installiert ist, unabhängig vom WordPress-Core-Version oder anderen Plugins.
Technische Details
Die Verwundbarkeit liegt im unsicheren Umgang mit dem ’search_key‘-Parameter. Dieser wird direkt in SQL-Abfragen verarbeitet, ohne ordnungsgemäß escaped zu werden. Ein Angreifer kann beispielsweise folgende Payload nutzen:
search_key=test' UNION SELECT user_login, user_pass FROM wp_users--
Dies ermöglicht es, Benutzerdaten wie Anmeldeinformationen oder E-Mail-Adressen aus der Datenbank zu extrahieren. Da keine Authentifizierung erforderlich ist (CVSS-Score 7.5), kann jeder Internetnutzer die Schwachstelle ausnutzen. Der Angriffsvektor ist netzwerkbasiert und erfordert minimale Berechtigungen.
Empfohlene Massnahmen
Sofortmassnahmen: Da kein Patch verfügbar ist, sollten Administratoren das Plugin deaktivieren und deinstallieren oder auf ein alternatives ERP-System wechseln. Überprüfen Sie die Datenbankzugriffslogs auf verdächtige Aktivitäten und Queries.
Monitoring: Implementieren Sie WAF-Regeln zur Erkennung von SQL-Injection-Versuchen (z.B. UNION SELECT, OR 1=1). Nutzen Sie IDS-Systeme zur Anomalieerkennung in Datenbankzugriffen.
Langfristig: Kontaktieren Sie den Plugin-Entwickler bezüglich eines Sicherheits-Patches. Verwenden Sie nur vertrauenswürdige, aktiv gepflegte Plugins mit regelmäßigen Sicherheitsupdates.
Bewertung
Die Schwachstelle erfordert sofortige Massnahmen. Die Kombination aus hohem CVSS-Score (7.5), fehlender Authentifizierung und kritischem Datenzugangsrisiko macht eine zeitnahe Deaktivierung des Plugins notwendig. Betroffene Administratoren sollten noch heute handeln.
„`