In dem WordPress-Plug-in AI Engine klafft eine Sicherheitslücke, die Angreifern das Ausweiten der Rechte bis zur Kompromittierung der WordPress-Instanz erlauben kann. Ein Update für das Plug-in, das auf mehr als 100.000 Webseiten zum Einsatz kommt, steht zur Verfügung.

Laut Plug-in-Beschreibung von AI Engine dient es dazu, Chatbots zu programmieren sowie Inhalte und KI-Formulare zu erstellen und um Aufgaben mit KI-Modellen zu automatisieren. Die IT-Sicherheitsforscher von Wordfence warnen nun vor einer Sicherheitslücke darin, die es Angreifern ohne vorherige Authentifizierung ermöglicht, den sogenannten „Bearer Token“ auszulesen und vollen Zugriff auf das für die KI-Anbindung genutzte MCP (Model Context Protocol) zu erlangen. Das gelingt etwa durch Zugriff auf den REST-API-Endpunkt „/mcp/v1/“.

Potenzielle Angriffe

Dem können sie dann Befehle übergeben, die es ausführt – etwa „wp_update_user“, womit bösartige Akteure ihre Rechte beispielsweise zum Administrator ausweiten können. Damit lässt sich die WordPress-Instanz dann übernehmen. Eine kleine Einschränkung nennt Wordfence jedoch – die Lücke besteht nur dann, wenn in den MCP-Einstellungen die Option „No-Auth URL“ aktiviert ist, was standardmäßig jedoch nicht der Fall ist (CVE-2025-11749, CVSS 9.8, Risiko „kritisch„).

In der Analyse von Wordfence gehen die IT-Forscher für Interessierte noch genauer ins Detail. Für Admins wichtig zu wissen: Betroffen sind AI-Engine-Versionen bis einschließlich 3.1.3, die Version 3.1.4 und neuere schließen die Sicherheitslücke.

Am Dienstag dieser Woche wurden Angriffe auf eine Sicherheitslücke im populären WordPress-Plug-in Post SMTP bekannt. Es kommt auf mehr als 400.000 WordPress-Instanzen zum Einsatz. Bösartige Akteure können die Lücke missbrauchen, um die Instanzen schlussendlich zu übernehmen. Auch hier steht eine aktualisierte Plug-in-Version bereit, die das Sicherheitsleck abdichtet.

(dmk)

Es näselt leicht im Passwort-Podcast: Co-Host Christopher hat die herbstliche Erkältungswelle erwischt. Doch das hindert die Sicherheits-Spezis nicht daran, sich durch verschiedene Themen rund um ihr Steckenpferd zu wühlen. Und derer gibt es – wie üblich – reichlich, begonnen bei einem verräterischen Exploitverkäufer.

Gewitter in der AWS- und Azure-Cloud

Mit einem auf den ersten Blick eher untypischen Thema geht es weiter, nämlich dem folgenschweren Ausfall bei Amazons Clouddienst AWS sowie dem erst vor wenigen Tagen ausgefallenen Cloud-Loadbalancer beim Konkurrenten Microsoft. Doch wie Sylvester erläutert, gehört die Verfügbarkeit als gleichberechtigter Bestandteil ebenso zur „CIA-Triade“ wie die Vertraulichkeit und Integrität von Informationen. Doch nicht nur dieser Formalismus macht die Ausfälle zum Podcast-Thema, sondern auch, dass sie lehrbuchartig für das Schmetterlingsprinzip stehen: Ein kleiner Ablauffehler in einem automatischen Vorgang führte zu tagelangen weltweiten Verfügbarkeitsproblemen.

Mit einer aktuellen kritischen Sicherheitslücke beim weltgrößten Softwareentwickler Microsoft gehts weiter: Im WSUS-Server klafft ein Leck, das Fremden die Ausführung beliebigen Codes und womöglich die Verteilung schädlicher Updates gestattet. Exploits kursieren bereits – und die Ursache ist mal wieder schlechte Programmierpraxis. Christopher konstatiert, dass etwas RTFM den Windows-Entwicklern dieses Ungemach erspart hätte.

Mit einem gemeinen Trick macht sich ein Schädling teilweise unsichtbar, dem Sylvester nachgespürt hat. Die Malware „Glassworm“ ist Teil einer neuen Supply-Chain-Attacke auf das Javascript-Ökosystem und bedient sich der weitgehend unbekannten „Unicode Variation Selectors“, um seine Schadroutine zu verschleiern. Vim-Nutzer müssen stark sein: Ihr gottgleich verehrter Editor fällt auf den Trick herein, andere warnen hingegen unterschiedlich deutlich. Glassworm hat noch weitere schlaue Tricks auf Lager, ist jedoch nicht zu Ende gedacht, stellt Sylvester fest.

Und dann war da noch die WebPKI. Christopher hat in den vergangenen Wochen das Versagen einer kroatischen CA beobachtet (dabei an der einen oder anderen Stelle selbst etwas Öl ins Zertifikatsfeuer gegossen) und zieht ein Zwischenfazit. Wie es dazu kam, dass CDN-Riese Cloudflare einen „unakzeptablen Sicherheits-Lapsus“ konstatierte, erzählt er seinem Co-Host und dem Publikum am Ende der Folge.

Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

(cku)

Inzwischen sollte es sattsam bekannt sein: Microsoft hat den Support für Windows 10 offiziell zum 14. Oktober 2025 eingestellt. Privatnutzer in der EU bekommen nach langem Hin und Her ein Jahr kostenlos erweiterten Support (Extended Security Updates, ESU), wenn sie sich dafür anmelden. Auch in Organisationen müssen IT-Verantwortliche aktiv werden, damit die Windows-10-Geräte weiterhin Sicherheitsupdates erhalten. Microsoft gibt dafür nun Tipps und Hinweise.

Privatanwender können sich seit Kurzem für das ESU-Programm anmelden. Im kommerziellen Umfeld ist jedoch keine kostenlose Variante vorgesehen, weshalb Microsoft jetzt eine Anleitung im Windows-IT-Pro-Blog veröffentlicht hat, die Admins bei der Vorbereitung zum Ausrollen des ESUs helfen soll.

Voraussetzungen für ESU-Aktivierungen

Um einen „Multiple Activation Key“ (MAK) aus dem Windows-10-ESU-Kauf zu aktivieren, müssen die Maschinen einige Voraussetzungen erfüllen. Zunächst muss Windows 10 auf den Stand 22H2 gebracht werden. Der minimale Update-Stand muss die Aktualisierung auf den Stand vom Oktober-Patchday 2025 sein (KB5066791, Build-Nummern 19044.6456 respektive 19045.6456 und neuere). Microsoft listet zudem eine ganze Reihe an URLs auf, die als Aktivierungsendpunkte für die Maschinen erreichbar sein müssen.

Den zur ESU-Lizenz gehörenden MAK finden Admins im Microsoft 365 Admin-Center unter „Billing“ – „Your Products“ – „Volume Licensing“. Dort gibt es den Punkt „View contracts“, wo auch der ESU-Kauf liegen sollte. „View product keys“ zeigt dann die verfügbaren MAKs an.

Um die ESU-Lizenzen auf die Geräte zu verteilen, kommt „slmgr.vbs“ zum Einsatz. Das kann mit Verwaltungswerkzeugen wie Microsoft Intune oder dem Microsoft Configuration Manager erfolgen. Zudem sei der Einsatz des Volume Activation Management Tool (VAMT) dafür möglich, oder das manuelle Laufenlassen eines Skripts für die Kommandozeile auf betroffenen Rechnern. Die ESU-Keys lassen sich schließlich auch telefonisch aktivieren.

An der administrativen Eingabeaufforderung zeigt der Befehl slmgr.vbs /dlv den Namen des ESU-Programms und den Lizenzstatus an. Der sollte nach der Aktivierung auf „Licensed“ stehen.

Microsoft erläutert auch, wie Admins den erweiterten Support in Cloud-PCs (Windows 365) aktivieren können. Für PCs mit Windows 10, die zum Zugriff darauf genutzt werden, stellt Microsoft automatisch die Support-Verlängerung bereit. Die müssen dafür in Microsoft Entra oder mit Entra hybrid verwaltet werden, zudem müssen Nutzerinnen und Nutzer sich mit derselben Entra-ID am physikalischen Gerät anmelden, die sie für den Zugriff auf Windows-365-Cloud-PCs nutzen – einmal alle 22 Tage. Azure Virtual Desktops erhalten ohne weiteres Zutun und ohne Zusatzkosten die erweiterten Sicherheitsupdates. Andere Virtualisierungsplattformen auf Microsoft Azure könnten manuelle ESU-Aktivierungen benötigen, schließt Microsoft die Handreichungen ab.

(dmk)