Sicherheitsleck gefährdet 82.000 Webseiten

Im WordPress-Plug-in TheGem klaffen Sicherheitslücken. Eine ermöglicht das Einschleusen von Schadcode und Übernahme der Instanz.

Im WordPress-Plug-in TheGem, das mehr als 82.000-mal verkauft wurde und daher auf ähnlich vielen WordPress-Instanzen aktiv ist, haben IT-Experten zwei Schwachstellen entdeckt. Eine kann Angreifern ermöglichen, Schadcode einzuschleusen und auszuführen. Eine aktualisierte Fassung steht bereit, die die Sicherheitslücken schließt.

 

TheGem ist ein Multifunktions-Plug-in, es stellt neben Themes auch direkt nutzbare Funktionen für selbst erstellte Webseiten bereit. Es ist kompatibel zu den populären WordPress-Website-Baukästen Elementor, WPBakery und WooCommerce.

 

Hochriskantes Sicherheitsleck in TheGem

Die IT-Experten von der Infotastisch Group haben über ihr Bug-Bounty-Programm zwei Sicherheitslücken gemeldet bekommen. Aufgrund einer fehlenden Dateityp-Prüfung in der Funktion thegem_get_logo_url() können Angreifer beliebige Dateien hochladen, wodurch die Ausführung von eingeschleustem Schadcode und schließlich die vollständige Kompromittierung der Instanz möglich wird. Die Angreifer benötigen dafür mindestens Zugriffsrechte auf "Subscriber"-Level (CVE-2025-4317, CVSS 8.8, Risiko "hoch").

 

Die zweite Schwachstelle ermöglicht die Veränderung von Daten, da die ajaxApi()-Funktion unzureichende Prüfungen vornimmt. Dadurch können Angreifer mit "Subscriber"-Level-Zugang oder höheren Rechten beliebige Optionen des Themes aktualisieren (CVE-2025-4339, CVSS 4.3, Risiko "mittel").

 

Betroffen sind die TheGem-Versionen bis einschließlich 5.10.3, die Schwachstellen bessert hingegen das Update auf Version 5.10.3.1 aus. WordPress-Admins sollten die Aktualisierung zügig anwenden.

 

Mitte April haben Angreifer bereits eine kurz zuvor bekannt gewordene Sicherheitslücke im SureTriggers-WordPress-Plug-in missbraucht. Schwachstellen in WordPress-Plug-ins stehen bei Cyberkriminellen hoch im Kurs.