WordPress Divi Theme: Kritische Sicherheitslücke

wordpress plugin divi builder - sicherheitslücke
MichaelVon Michael|4. August 2020

Alle WordPress-Sicherheitslücken monatlich zusammengefasst:

Aktuell wurde eine Sicherheitslücke bei dem beliebten WordPress Theme Divi von Elegant Themes gemeldet. Das Theme beinhaltet unter anderem den Visual Page Builder Divi Builder.
Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin / Theme findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 

Elegant Themes und Divi

Elegant Themes zählen zu den Urgesteinen der WordPress-Contributors und sind bereits seit 2008 am Markt. Sie bieten viele verschiedene WordPressThemes und auch Plugins an. Das WordPress Theme Divi, zählt zu den beliebtesten Premium-Themes am Markt. Das gleichnamige und ebensfalls sehr beliebte Pagebuilder-Plugin kann auch mit beliebig mit anderen Themes verwendet werden, so zum Beispiel mit dem Magazin- und Blogging-Theme Extra von Elegant Themes. Das praktische an dem Blog-Pagebuilder Divi für den Benutzer: Man braucht sich bloß einmal anzumelden und erhält Zugriff auf die gesamte Kollektion an Themes und Plugins auf so vielen Webseiten, wie gewünscht. Der Divi Builder ist damit die Funktion, die das Divi Theme von Elegant Themes so besonders macht. Mit diesem Page Builder lassen sich viele Elemente auf der Website im Live-Modus anpassen – ohne Code, Programmierung und dergleichen. Dabei hat man eine enorm große Auswahl an graphischen Elementen und Blöcken zur Verfügung.
Laut builtwitch.com laufen aktuell fast 1.500.000 (1,5 Mio.) Live-Webseiten mit dem Divi-Framework, davon über 60.000 in Deutschland.

 


Bekannt geworden am 04.08.2020:

Sicherheitslücke: Authenticated Arbitrary File Upload

Diese Lücke kann durch authentifizierte Benutzer missbraucht werden. Das bedeutet, dass ein Nutzer mit seinem Account eingeloggt sein muss – zum Ausnutzen dieser speziellen Sicherheitslücke ist die Berechtigungsstufe eines Mitarbeiters (Contributor) oder höher notwendig. Die Lücke ermöglicht es dann, beliebige Datein -insbesondere auch PHP-Dateien- hochzuladen und so schließlich auch die Möglichkeit der Remote-Code-Ausführung auf dem Server der betroffenen Seite zu erhalten. Das kann konkret dazu führen, dass ein Angreifer beispielsweise die Datenbank auslesen oder manipulieren kann. In Abhängigkeit der individuellen Sicherheitsvorkehrungen kann auch das ganze Betriebssystem manipuliert und gesteuert werden.
Diese Sicherheitslücke kann geschlossen werden, indem das entsprechende Theme oder Plugin auf Version (4.5.3) aktualisiert wird. Durch die zentrale Versionsverwaltung gilt dies sowohl für Divi-Theme, Extra-Theme und den Divi-Pagebuilder.
Quellen:
https://wpvulndb.com/vulnerabilities/10342
weitere Details / Statement der Reporter (englisch):
https://www.wordfence.com/blog/2020/08/critical-vulnerability-exposes-over-700000-sites-using-divi-extra-and-divi-builder/

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

 


! Kostenloser Speedtest (CTA-Box) - 04/22 - /blog/

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.

Mit dem Absenden dieses Formulars stimmst du unseren Datenschutzbestimmungen zu.

 


 

Bekannt geworden am 30.10.2018

Sicherheitslücke von WordPress Divi Theme: Authenticated Stored Cross-Site Scripting (XSS)

Es wurde im WordPress Divi Theme eine Sicherheitslücke entdeckt, die es Low-Level-Benutzern, wie beispielsweise Autoren, ermöglichen könnte, ungefiltertes HTML innerhalb von Post-Inhalten zu verwenden, wenn sie den Divi Builder verwenden. Die Verwendung eines solchen Codes in Beiträgen ist typischerweise für Administratoren reserviert. Aus diesem Grund herrscht zurzeit eine hohe Anfälligkeit für Nutzer des Themes: Die Divi Vulnerability ist so hoch wie noch nie.
Die identifizierten Probleme betreffen alle Websites, die das Divi-Theme, das Extra Theme oder das Plugin WordPress Divi Builder verwenden. Insbesondere bei Websites, die eine offene Benutzerregistrierung oder Low-Level-Postautoren haben.
Die Aktualisierung deiner Designs und WP Plugins wird die Sicherheitslücke beheben. Du kannst deine Designs oder Plugins über dein WordPress-Dashboard aktualisieren oder die neuesten Versionen aus dem Mitgliederbereich herunterladen und manuell aktualisieren.
Quelle: https://wpvulndb.com/vulnerabilities/9140

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

HostPress GmbH hat 4,93 von 5 Sternen 459 Bewertungen auf ProvenExpert.com