Im weit verbreiteten WordPress-Plugin Anti‑Malware Security and Brute‑Force Firewall wurde die Schwachstelle CVE-2025-11705 identifiziert. Der Fehler ermöglicht authentifizierten Nutzern mit Minimalrechten das Auslesen beliebiger Dateien auf dem Server. Betroffen sind Installationen bis einschließlich Version 4.23.81. Das Plugin ist auf über 100.000 Websites aktiv; zum Veröffentlichungszeitpunkt haben jedoch nur rund 50.000 Installationen die Korrektur eingespielt, sodass ein signifikanter Anteil weiterhin exponiert ist.
Technische Analyse: Arbitrary File Read durch unsichere AJAX-Verarbeitung
Ursächlich ist ein fehlerhafter AJAX-Handler (GOTMLS_ajax_scan()), der keine Capability-Prüfung durchführt. Stattdessen verlässt sich die Funktion ausschließlich auf einen Nonce-Wert. Da Nonces in WordPress vor allem CSRF-Schutz bieten, jedoch keine Berechtigungen ersetzen, können registrierte Benutzer – einschließlich einfacher Abonnenten – den Handler auslösen und den Lesezugriff auf beliebige Dateien initiieren. Damit entsteht ein klassisches Arbitrary File Read-Szenario.
Warum wp-config.php im Fokus steht
Der attraktivste Angriffsvektor ist wp-config.php. Diese Datei enthält Datenbank-Host, -Name, -Nutzer und -Passwort sowie AUTH-Keys und SALTs. Mit diesen Informationen können Angreifer:
• direkten Zugriff auf die Datenbank erhalten und Passworthashes, E-Mail-Adressen und Inhalte exfiltrieren (Offline-Cracking wird dadurch erleichtert);
• Schlüssel und Salts missbrauchen, um Sitzungen zu manipulieren;
• personenbezogene Daten für gezielte Phishing-Kampagnen nutzen;
• durch Kombination mit schwachen Passwörtern oder weiteren Schwachstellen einen vollständigen Site-Takeover erreichen.
Zeitleiste, Patch-Status und Risikoabschaetzung
Die Schwachstelle wurde vom Sicherheitsforscher Dmitry Ignatiev im Rahmen eines Bug-Bounty-Programms gemeldet. Wordfence informierte den Entwickler am 14. Oktober 2025. Das Update 4.23.83 erschien am 15. Oktober 2025 und ergänzt eine Berechtigungsprüfung via GOTMLS_kill_invalid_user(). Laut WordPress.org wurde der Patch etwa 50.000-mal heruntergeladen, sodass weiterhin ungefähr 50.000 aktive Installationen auf verwundbaren Versionen verbleiben.
Zum Zeitpunkt der Veröffentlichung liegen keine bestätigten aktiven Angriffe vor. Erfahrungsgemäß erhöht eine öffentliche Offenlegung jedoch die Wahrscheinlichkeit zeitnaher Exploit-Versuche. Betreiber mit offener Registrierung sind besonders gefährdet, da bereits Basiszugriff ausreicht, um den fehlerhaften Handler anzusprechen.
Empfehlungen: Sofortmassnahmen und Härtung
Unverzüglich aktualisieren: Spielen Sie Anti‑Malware Security 4.23.83 oder neuer ein. Nur das Update beseitigt die Ursache der Schwachstelle belastbar.
Konten- und Registrierungsmanagement: Prüfen Sie, ob eine offene Benutzerregistrierung erforderlich ist. Führen Sie Moderation, E-Mail-Bestätigung oder reCAPTCHA ein, um automatisierte Kontoerstellungen zu reduzieren.
Geheimnisse rotieren: Bei Verdacht Passwörter der Datenbank ändern und AUTH_KEY/SALT neu setzen; laufende Sitzungen invalidieren, um potenziell kompromittierte Cookies unbrauchbar zu machen.
Dateizugriffe einschränken: Härtung auf Webserver-Ebene (z. B. restriktive Lese-Rechte für wp-config.php), minimal erforderliche Dateirechte für den PHP-Prozess, Trennung von Schreib- und Lesezugriffen.
Monitoring und Forensik: Analysieren Sie Webserver- und Security-Logs auf ungewöhnliche AJAX-Requests an den betroffenen Handler. Suchen Sie nach Auffälligkeiten wie gehäuften Datei-Leseversuchen oder verdächtigen Pfadangaben.
Grundhygiene: Prinzip der geringsten Privilegien, Deinstallation ungenutzter Plugins, regelmäßige Updates für Core, Themes und Erweiterungen. Diese Maßnahmen reduzieren die Angriffsfläche messbar und erschweren laterale Bewegungen.
Organisationen sollten die Verwundbarkeitsmanagement-Prozesse auf Aktualität prüfen: schnelle Patch-Zyklen, Asset-Inventarisierung (welche Plugins sind wo aktiv?), sowie ein Alarmierungs- und Response-Playbook. Verlässliche Quellen wie Wordfence und WordPress.org bieten zeitnahe Hinweise zu Patches und aktiven Angriffskampagnen und sollten in die regelmäßige Lagebeurteilung einfließen.
Wer jetzt handelt, senkt das Risiko von Datendiebstahl und Account-Übernahmen signifikant. Aktualisieren Sie das Plugin, rotieren Sie sensible Geheimnisse und überprüfen Sie Logdaten. So stärken Sie die Resilienz Ihrer WordPress-Instanz gegenüber schnell anschwellenden Exploit-Wellen nach Disclosure.
