WordPress Divi Theme: Kritische Sicherheitslücke
Alle WordPress-Sicherheitslücken monatlich zusammengefasst:
Aktuell wurde eine Sicherheitslücke bei dem beliebten WordPress Theme Divi von Elegant Themes gemeldet. Das Theme beinhaltet unter anderem den Visual Page Builder Divi Builder.
Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin / Theme findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.
Elegant Themes und Divi
Elegant Themes zählen zu den Urgesteinen der WordPress-Contributors und sind bereits seit 2008 am Markt. Sie bieten viele verschiedene WordPressThemes und auch Plugins an. Das WordPress Theme Divi, zählt zu den beliebtesten Premium-Themes am Markt. Das gleichnamige und ebensfalls sehr beliebte Pagebuilder-Plugin kann auch mit beliebig mit anderen Themes verwendet werden, so zum Beispiel mit dem Magazin- und Blogging-Theme Extra von Elegant Themes. Das praktische an dem Blog-Pagebuilder Divi für den Benutzer: Man braucht sich bloß einmal anzumelden und erhält Zugriff auf die gesamte Kollektion an Themes und Plugins auf so vielen Webseiten, wie gewünscht. Der Divi Builder ist damit die Funktion, die das Divi Theme von Elegant Themes so besonders macht. Mit diesem Page Builder lassen sich viele Elemente auf der Website im Live-Modus anpassen – ohne Code, Programmierung und dergleichen. Dabei hat man eine enorm große Auswahl an graphischen Elementen und Blöcken zur Verfügung.
Laut builtwitch.com laufen aktuell fast 1.500.000 (1,5 Mio.) Live-Webseiten mit dem Divi-Framework, davon über 60.000 in Deutschland.
Bekannt geworden am 04.08.2020:
Sicherheitslücke: Authenticated Arbitrary File Upload
Diese Lücke kann durch authentifizierte Benutzer missbraucht werden. Das bedeutet, dass ein Nutzer mit seinem Account eingeloggt sein muss – zum Ausnutzen dieser speziellen Sicherheitslücke ist die Berechtigungsstufe eines Mitarbeiters (Contributor) oder höher notwendig. Die Lücke ermöglicht es dann, beliebige Datein -insbesondere auch PHP-Dateien- hochzuladen und so schließlich auch die Möglichkeit der Remote-Code-Ausführung auf dem Server der betroffenen Seite zu erhalten. Das kann konkret dazu führen, dass ein Angreifer beispielsweise die Datenbank auslesen oder manipulieren kann. In Abhängigkeit der individuellen Sicherheitsvorkehrungen kann auch das ganze Betriebssystem manipuliert und gesteuert werden.
Diese Sicherheitslücke kann geschlossen werden, indem das entsprechende Theme oder Plugin auf Version (4.5.3) aktualisiert wird. Durch die zentrale Versionsverwaltung gilt dies sowohl für Divi-Theme, Extra-Theme und den Divi-Pagebuilder.
Quellen:
https://wpvulndb.com/vulnerabilities/10342
weitere Details / Statement der Reporter (englisch):
https://www.wordfence.com/blog/2020/08/critical-vulnerability-exposes-over-700000-sites-using-divi-extra-and-divi-builder/
Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.
Bekannt geworden am 30.10.2018
Sicherheitslücke von WordPress Divi Theme: Authenticated Stored Cross-Site Scripting (XSS)
Es wurde im WordPress Divi Theme eine Sicherheitslücke entdeckt, die es Low-Level-Benutzern, wie beispielsweise Autoren, ermöglichen könnte, ungefiltertes HTML innerhalb von Post-Inhalten zu verwenden, wenn sie den Divi Builder verwenden. Die Verwendung eines solchen Codes in Beiträgen ist typischerweise für Administratoren reserviert. Aus diesem Grund herrscht zurzeit eine hohe Anfälligkeit für Nutzer des Themes: Die Divi Vulnerability ist so hoch wie noch nie.
Die identifizierten Probleme betreffen alle Websites, die das Divi-Theme, das Extra Theme oder das Plugin WordPress Divi Builder verwenden. Insbesondere bei Websites, die eine offene Benutzerregistrierung oder Low-Level-Postautoren haben.
Die Aktualisierung deiner Designs und WP Plugins wird die Sicherheitslücke beheben. Du kannst deine Designs oder Plugins über dein WordPress-Dashboard aktualisieren oder die neuesten Versionen aus dem Mitgliederbereich herunterladen und manuell aktualisieren.
Quelle: https://wpvulndb.com/vulnerabilities/9140
Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.
Mehr aktuelle Beiträge rund um WordPress & Co.:
Wurde gefixt, vielen Dank für die Info
Hi,
diese Sicherheitslücke war aber nur relevant, wenn es „böse“ Autoren gab?! Verstehe ich das richtig? Ist die Wahrscheinlichkeit groß, dass so eine Sicherheitslücke nochmal vorkommt?
VG
Hi Ralfel,
prinzipiell ist das richtig, ja. In Abhängigkeit der Struktur einer Seite könnten auch andere Nutzertypen mit beschränkten Privilegien eine derartige Lücke missbrauchen.
Über die Wahrscheinlichkeit lässt sich i.A. nicht viel sagen. Wir empfehlen daher, Plugins und Themes regelmäßig auf verfügbare Updates zu prüfen! ✌
Beste Grüße,
Johannes von HostPress
[…] schleusten als authentifizierte User Malware in Form eines bösartigen Javascript-Codes über das WP-Bakery-Page-Builder-Plugin auf die entsprechenden […]
Ich arbeite seit ein paar Monate mit Divi, bin aber im Großen und Ganzen schon sehr zufrieden und habe nie über diese Sicherheitslücke gehört. Danke für die Info!
Danke für die Info, super Beitrag!