„`html
Zusammenfassung
Die kritische Sicherheitslücke CVE-2026-45444 betrifft das WordPress-Plugin „Gift Cards For WooCommerce Pro“ und ermöglicht es Angreifern, beliebige Dateitypen hochzuladen. Durch die fehlende Validierung der hochgeladenen Dateien können Malware, Webshells und andere schädliche Inhalte auf betroffene Server gelangen. Mit einem CVSS-Score von 10.0 handelt es sich um eine der kritischsten Sicherheitslücken.
Betroffene Systeme
Das Plugin „Gift Cards For WooCommerce Pro“ in den Versionen bis einschließlich 4.2.6 ist anfällig. Die Lücke betrifft alle WooCommerce-basierten Online-Shops, die dieses Plugin in den genannten Versionen einsetzen. Sowohl Einzelhandels- als auch Enterprise-Installationen sind potenziell gefährdet.
Technische Details
Die Vulnerabilität liegt in der dateiupload-Funktionalität des Plugins, die keine ausreichende Validierung der hochgeladenen Dateitypen durchführt. Angreifer können ohne Authentifizierung über das Netzwerk beliebige Dateien hochladen – einschließlich PHP-Dateien, Executables oder Archive mit Malware. Dies ermöglicht Remote Code Execution (RCE) mit Webserver-Privilegien. Die fehlende Whitelist-basierte Validierung und fehlende MIME-Type-Prüfung sind die Hauptursachen.
Empfohlene Massnahmen
- Sofortige Maßnahmen: Deaktivieren Sie das Plugin bis zur Verfügbarkeit eines Patches und implementieren Sie eine Datei-Upload-Sperre auf Firewall-Ebene
- Monitoring: Überwachen Sie Webserver-Logs auf verdächtige Upload-Aktivitäten und neue Dateien in Upload-Verzeichnissen
- Härtung: Implementieren Sie strikte File-Upload-Restrictions und WAF-Regeln gegen Datei-Upload-Exploits
- Patch abwarten: Aktualisieren Sie das Plugin sofort, sobald der Sicherheits-Patch verfügbar ist
Bewertung
Diese Lücke erfordert sofortige Maßnahmen. Mit CVSS 10.0 und aktuellem Exploit-Potenzial ist eine Kompromittierung hochwahrscheinlich. Implementieren Sie Mitigationen unverzüglich, bis ein Patch zur Verfügung steht.
„`