Aktuell wurde uns eine kritische Sicherheitslücke bei dem WordPress Plugin „WooCommerce“ gemeldet. Wir erklären euch kurz, was ihr tun könnt, wenn ihr das Plug-In auf eurer WordPress Seite nutzt.

Letztes Update: 28.02.2019

 

Das WordPress Plugin: WooCommerce

Das populäre Plug-In WooCommerce ist ein freies Plug-in für WordPress, welches dein Content-Management-System um die Funktionalität eines Onlineshops ergänzt. Das Plugin zeichnet sich durch die nahtlose Einbettung der E-Commerce-Funktionen in das WordPress-Framework aus. 

Du suchst ein sicheres und schnelles WooCommerce Hosting?

Bei HostPress enthalten alle Tarife erweiterte Sicherheitsfeatures, Malware Scanner und Firewall um dein WooCommerce sicher zu machen.
Wechsle noch heute zu HostPress – wir ziehen deinen Online Shop kostenlos zu uns um.

Jetzt Tarife & Preise ansehen

 

 

Bekannt geworden am 20.02.19

Sicherheitslücke: Stored Cross-Site Scripting (XSS)

Eine gespeicherte XSS-Schwachstelle wurde in WooCommerce 3.5.4 und älteren Versionen entdeckt. Die Lücke wird durch eine unzureichende Filterung der Bildunterschrift verursacht. Die Sicherheitslücke erlaubt es Benutzern mit dem Contributor Zugriff oder einer höheren Berechtigung beliebiges HTML/Javascript in WooCommerce-Seiten einzufügen, indem es die Bildunterschrift ändert oder eine Bilddatei hochlädt.

Wir empfehlen euch deshalb unbedingt auf die neueste Version 3.5.5 zu aktualisieren.

 

 

 

Bekannt geworden am 13.12.18

Sicherheitslücke: Authenticated Phar Deserialization

Der Sicherheitsforscher Sam Thomas von Secarma fand eine neue Ausbeutungstechnik, die zu kritischen Schwachstellen in der PHO-Objektinjektion führen kann – ohne die PHP Funktion unserialize() zu verwenden. Die neue Technik wurde auf der BlackHat USA Konferenz in seinem Vortrag IT’s a PHP Unserialization Vulnerability Jim angekündigt, aber nicht, wie wir es kennen. Es kann Angreifern ermöglichen, den Schweregrad von dateibezogenen Schwachstellen bei der Remotecodeausführiung zu erhöhen.

Die neue Technik lässt Hunderttausende von Webanwendungen offen für Angriffe auf die Ausführung von Remote-Code einschließlich Websites, die von einigen gängigen ContentManagement Systemen wie WordPress und Typo3 unterstützt werden.

 

 

Bekannt geworden am 10.12.18

Sicherheitslücke: Authenticated Stored XSS

Die Sicherheitslücke betrifft die Versionen 3.4.5 und älter. Die Sicherheitslücke ermöglicht es ShopManagern bösartige Aktionen durchzuführen. Diese Probleme können von Benutzern mit ShopManager-Funktionen oder höher ausgenutzt werden. Wir empfehlen euch deshalb unbedingt auf die neueste Version 3.4.5 zu aktualisieren.

 

 

Bekannt geworden am 07.11.18

Sicherheitslücke: Authenticated File Deletion to Privilege Escalation

Ein Fehler in der Art und Weise wie WordPress mit Privilegien umgeht, kann zu einer Privilegieneskalation in WordPress-Plugins führen. Diese Sicherheitslücke ermöglicht es Angreifern mit der Benutzerrolle „Shop-Manager“ bestimmte Dateien auf dem Server zu löschen und dann ein beliebiges Administratorkonto zu übernehmen und Code auf dem Server auszuführen. Das Löschen bestimmter Plugin-Dateien in WordPress kann Sicherheitsprüfungen deaktivieren und zu einer vollständigen Übernahme der Webseite führen. Fehler ist ein nicht gepatchter Designfehler im Privilegsystem von WordPress.  Wir empfehlen euch deshalb unbedingt auf die Version 3.4.6. zu aktualisieren.
Quelle: https://wpvulndb.com/vulnerabilities/9143

 

 

Bekannt geworden am: 11.10.18

Sicherheitslücke: Authenticated Object Injection

Die Plugin-Versionen 3.4.5 und niedriger sind von dieser Lücke betroffen. Hierbei ist es der Benutzergruppe „Shop Manager“ möglich Aktionen auszuführen wofür sie normalerweise nicht berechtigt wären. Die Sicherheitslücke wird durch ein Update auf Version 3.4.6 behoben.
Quelle: https://wpvulndb.com/vulnerabilities/9137 

 

 

Bekannt geworden am: 30.08.18

Sicherheitslücke: Potential Object Injection

Die Plugin-Versionen 3.x sind von einer Sicherheitslücke betroffen, bei der Nutzer, die in der Lage sind, Attribute zu editieren, diese Lücke ausnutzen können. Da momentan noch nicht klar ist, ob die Sicherheitslücke auch einen Zugriff auf andere Bereiche des Online-Shops ermöglicht, empfehlen wir daher dringend das Plugin auf die neueste Version: 3.4.5 zu aktualisieren.
Quelle: https://wpvulndb.com/vulnerabilities/9120

 

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

Kritische Sicherheitslücke: WooCommerce
5 (100%) 5 vote[s]