IT-Sicherheitsforscher haben zwei Schwachstellen im WordPress Plug-in “TheGem” entdeckt. Dieses Plug-in ist ein weit verbreitetes Tool für das Erstellen von Themes und Funktionen auf Webseiten.
Die erste Sicherheitslücke (CVE-2025-4317, CVSS 8.8, Risiko “hoch“) ermöglicht Cyberkriminellen das Einschleusen von Schadcode durch eine fehlende Dateityp-Prüfung. Bei der zweiten Schwachstelle (CVE-2025-4339, CVSS 4.3, Risiko “mittel“) können Angreifer mit Zugangsrechten auf “Subscriber”-Level beliebige Optionen des Themes verändern. Grund dafür nicht ausreichende Prüfung in der ajaxApi()-Funktion.
Von den Sicherheitslücken sind alle Versionen bis einschließlich der Version 5.10.3 betroffen. WordPress-Administratoren sollten daher schnellstmöglich auf die abgesicherte Version 5.10.3.1 wechseln, da dieses Plug-in weit verbreitet ist und derartige Lücken gerne von Cyberkriminellen ausgenutzt werden.
Sollten Sie Unterstützung benötigen, wenden Sie sich gerne an uns.
E-Mail:
Schreiben Sie eine E-Mail an support@cosus.de.
Telefon:
Kontaktieren Sie unseren technischen Support unter folgender Telefonnummer:
+49 7724 9386 998