Die Sicherheitsfirma Defiant hat die Schwachstelle detailliert analysiert. Sie wird mit einem CVSS-Score von 7,5 bewertet und liegt in der fehlerhaften Eingabevalidierung des Plugins vor. Das Kernproblem: Der Code sanitarisiert benutzersupplierte URL-Parameter nicht ausreichend, um SQL-Metacharakter wie Anführungszeichen und Klammern zu blocken. Dies ermöglicht sogenannte Blind-SQL-Injection-Angriffe, bei denen Angreifer zeitbasiert Datenbankinformationen extrahieren können.
Die anfällige Stelle befindet sich in der “subscribers”-Query-Funktionalität des Plugins. Der Entwickler nutzte hier nicht die in WordPress standardmäßig empfohlene wpdb-prepare()-Funktion, die SQL-Abfragen parametrisiert und damit sicher macht. Stattdessen wurden die Benutzereingaben unzureichend bereinigt, bevor sie in die SQL-Queries aufgenommen wurden. Dies ist ein klassischer Entwicklerfehler, der schwerwiegende Konsequenzen haben kann.
Besonders alarmierend ist das Ausmaß der Gefährdung: Mit über 400.000 aktiven Installationen und einer Quote von 60 Prozent anfälligen Versionen Anfang März sind potenziell mehr als 200.000 Websites dem Angriffsrisiko ausgesetzt. Das umfasst große und kleine Unternehmen, Behörden, Nachrichtenmedien und viele weitere Organisationen weltweit – darunter sicherlich auch zahlreiche deutsche Institutionen.
Die gute Nachricht: Der Entwickler hat das Problem erkannt und behoben. In Version 4.1.0, die am 23. Februar veröffentlicht wurde, wurde die wpdb-prepare()-Funktion integriert. Damit ist das Loch jetzt geschlossen – allerdings nur für diejenigen, die aktualisieren. Website-Betreiber, die ihre Plugins nicht regelmäßig updaten, bleiben weiterhin angreifbar.
Dieser Vorfall unterstreicht erneut, wie wichtig ein robustes Plugin-Management und regelmäßige Sicherheitsupdates sind. Für deutschsprachige WordPress-Administratoren gilt: Nicht warten, sondern sofort auf Ally 4.1.0 oder aktueller upgraden.