Durch eine Sicherheitslücke im WordPress-Plug-in WP Reset Pro war es angemeldeten Nutzern auch ohne ausreichende Berechtigungen möglich, komplette Webauftritte damit zu löschen. Die Software hilft beispielsweise Web- und Theme-Entwicklern, rasch etwaige Änderungen in WordPress wieder zurückzusetzen. Das Plug-in verzeichnet in der kostenlosen Version bereits mehr als 300.000 Installationen, der Hersteller spricht sogar von mehr als 400.000; die betroffene Pro-Version ist wahrscheinlich nicht so verbreitet. IT-Sicherheitsexperten von Patchstack haben die Sicherheitslücke (CVE-2021-36909, CVSS 8.8) entdeckt und direkt dem Plug-in-Hersteller gemeldet. Nach einer Wartezeit von 6 Wochen hat Patchstack nun einen Artikel mit Details veröffentlicht. Das sollte den Plug-in-Nutzern ausreichend Zeit zur Aktualisierung auf der bereitstehende, fehlerbereinigte Version verschafft haben. Den Sicherheitsforschern zufolge hat das WP Reset-Plugin in der Pro-Version weder die Berechtigungen, noch den zufälligen Einmal-Token der Sitzung korrekt geprüft. Und dies, obwohl das Plug-in Löschoperationen im Administrator-Kontext ausführt. Demnach konnte jeder, der einen Zugang etwa für Kommentare besitzt, einen Parameter wie %%wp
übergeben und damit alle Tabellen in der Datenbank mit dem Prefix wp
löschen lassen. Dies setzt die WordPress-Instanz so weit zurück, dass beim Besuch der Seite das WordPress neu eingerichtet wird. Nutzer des WP Reset Pro-Plug-ins sollten das bereitstehende Update auf Version 5.99 oder neuer zeitnah einspielen. In der kostenlosen Version ist der Fehler offenbar nicht vorhanden; hier sind keine Aktionen seitens der WordPress-Administratoren nötig.