Sicherheitslücke bei WordPress-Plugin: Email Subscribers & Newsletters

Sicherheitslücke Email Subscribers Icegram
Aktuell wurde uns eine Sicherheitslücke bei dem WordPress Plugin Email Subscribers & Newsletters gemeldet.
Was zu tun ist, Details zur Sicherheitslücke und zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100k+ aktiven Nutzern.

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ frei nutzbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.

Falls du über den HostPress SecurePlan verfügst, haben wir das entsprechende Update bereits für dich durchgeführt.

Das WordPress-Plugin: Email Subscribers & Newsletters by Icegram

Email Subscribers ist ein umfassendes Newsletter-Plugin, mit dessen Hilfe man Leads sammeln und automatisierte Emails zu neuen Blogposts versenden kann. Außerdem ist es damit möglich, Broadcasts zu erstellen, zu verteilen und all dies auch zentral mit nur einem Plugin zu verwalten. Das Plugin zählt laut WordPress.org aktuell über 100.000 aktive Nutzer.

 

 

 

Bekannt geworden am 14.08.2019:

Sicherheitslücke: Cross-Site-Scripting / XSS

Cross-Site-Scripting (XSS; deutsch Webseitenübergreifendes Skripting) bezeichnet das Ausnutzen einer Computersicherheitslücke in Webanwendungen, indem Informationen aus einem Kontext, in dem sie nicht vertrauenswürdig sind, in einen anderen Kontext eingefügt werden, in dem sie als vertrauenswürdig eingestuft werden. Aus diesem vertrauenswürdigen Kontext kann dann ein Angriff gestartet werden. Ziel ist es meist, an sensible Daten des Benutzers zu gelangen, um beispielsweise seine Benutzerkonten zu übernehmen (Identitätsdiebstahl).
In diesem Fall ist es einem Angreifer möglich, mit dem „esfpx_name“ POST -Parameter schädlichen JavaScript-Code über das öffentliche Subscribe-Formular einzupflanzen.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (4.1.7) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9508

 

 

 

Bekannt geworden am 23.07.2019:

Sicherheitslücke: SQL Injection

SQL-Injection (dt. SQL-Einschleusung) bezeichnet das Ausnutzen einer Sicherheitslücke in Zusammenhang mit SQL-Datenbanken, die durch mangelnde Maskierung oder Überprüfung von Metazeichen in Benutzereingaben entsteht. Der Angreifer versucht dabei, über die Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Datenbankbefehle einzuschleusen. Sein Ziel ist es, Daten auszuspähen, in seinem Sinne zu verändern, die Kontrolle über den Server zu erhalten oder einfach größtmöglichen Schaden anzurichten.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (4.1.8) aktualisiert wird.
In diesem Fall ist es einem Angreifer möglich, willkürlichen SQL-Code auszuführen, wodurch das Risiko maximal ist.
Quelle: https://wpvulndb.com/vulnerabilities/9467

 

Ähnliche Beiträge

wordpress-hosting anbieter vergleich
WordPress Hosting – HostPress® bester deutscher Anbieter im Vergleich

WordPress Hosting im globalen Vergleich Gerade wurden die Ergebnisse der globalen Marktanalyse von…


rich reviews malvertising
Sicherheitslücke im WordPress Plugin: Rich Reviews by NuancedMedia

Achtung — Malvertise-Kampagne nutzt Sicherheitslücken systematisch aus! Aktuell berichten wir über…


Sicherheitsrisiko PHP 5.6 WordPress Upgrade
PHP 5.6 Support eingestellt: PHP 5.6 Sicherheit nicht mehr gegeben!

Laut der Statistik von W3techs laufen aktuell 78,9 Prozent aller Webseiten mit PHP. Davon wiederum…


hostpress-sicherheitsluecke-jetpack
Sicherheitslücke bei WordPress Plugin: Jetpack

Aktuell wurde uns eine Sicherheitslücke bei dem WordPress Plug-In „Jetpack“ gemeldet. Wir erklären…