Wie heute bekannt wurde, gibt es in den beliebten WordPress Plugins „Slider Revolution“ und „Showbiz Pro“ eine sehr große Sicherheitslücke, die in der Lage ist die wp-config.php von einer WordPress Installation herunter zu laden.

So ist es möglich über den URL-Aufruf

http://website.de/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

die WordPress Konfiguration von der betroffenen Seite zu erhalten. In dieser steht beispielsweise im Klartext die Datenbankverbindung. Diese Art von Angriff ist bekannt unter der Bezeichnung „Local File Inclusion (LFI)„.

Der Fehler betrifft alle Slider Revolution Plugins die eine kleinere Version als 4.2 (Veröffentlicht im Februar 2014) und alle Versionen von Showbiz Pro die kleiner als Version 1.5.3 (Veröffentlicht im Januar 2014) sind. Das Problem ist, dass viele Templates von codecanyon (themeforrest.net) solche Plugins mitbringen. Stellenweise gibt Themes, die nicht mehr aktualisiert wurden und somit keine aktuellen Plugins zur Verfügung stellen.

Der Marktplatz von codecanyon bietet jedoch allen Betroffenen, die ein Theme mit dem Plugin gekauft haben, ein Updatepatch zur Verfügung. Somit sind auch ältere, nicht mehr gepflegte Themes in der Lage, ein Update zu erhalten. Betroffene Kunden oder Agenturen sollten sich mit ihrem bestehenden Kundenkonto bei codecanyon bzw. themeforrest einloggen und das Update für den jeweiligen Slider herunterladen und bei allen betroffenen Systemen installieren.

Weitere Informationen gibt es auf:

http://marketblog.envato.com/general/plugin-vulnerability/ und hier http://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being-exploited.html