Das verwundbare WordPress-Plug-in UiCore Elements weist derzeit rund 40.000 aktive Installationen auf. Angreifer können an zwei Sicherheitslücken ansetzen, um diese Seiten zu attackieren. Eine reparierte Version verfügt über einen Patch.
Vor den Schwachstellen warnen Sicherheitsforscher von Wordfence in einem Beitrag. Mit UiCore Elements können Websitebetreiber ihre Seiten unter anderem optisch anpassen und mit Widgets ausstatten.
Aufgrund von unzureichenden Überprüfungen bei der Uploadfunktion können Angreifer ohne Authentifizierung Dateien mit sensiblen Informationen auf Servern einsehen (CVE-2025-6254 "hoch"). Zum Ausnutzen der zweiten Sicherheitslücke (CVE-2025-8081 "mittel") müssen Angreifer bereits als Admin authentifiziert sein.
Zurzeit gibt es keine Hinweise, dass Angreifer die Schwachstellen bereits ausnutzen. Admins sollten aber nicht zu lange mit dem Patchen zögern. Die Version 1.3.1 ist abgesichert.
Zuletzt warnten die Sicherheitsforscher vor Angriffsversuchen auf das WordPress-Theme Alone.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo