sicherheitslücke wordpress core 5.7

Alle WordPress-Sicherheitslücken im Monatsrückblick:

Sicherheitslücke bei WordPress < 5.7

 

Aktuell wurde ein Sicherheits- und Wartungsrelease 5.7.1 veröffentlicht, um mehrere Sicherheitslücken und Bugs in den Versionen älter als 5.7 zu schließen. Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zu WordPress-Plugins findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 


❌❗ Update: am 13.05.2021 wurde eine weitere Sicherheitslücke veröffentlicht, welche alle Versionen ab 3.7 betrifft und über den PHP-Mailer Object Injection und so schließlich die Übernahme einer Seite ermöglicht. Diese Lücke kann durch ein Update auf das aktuelle Release WordPress 5.7.2 geschlossen werden.

Quelle: https://wpscan.com/vulnerability/4cd46653-4470-40ff-8aac-318bee2f998d ❗❌

 


Veröffentlicht am 15.04.2021:

Das Sicherheits- und Wartungsrelease WordPress 5.7.1 behebt 26 Bugs und schließt zwei Sicherheitslücken.

Sicherheitslücke WordPress 4.7-5.7: Authenticated Password Protected Pages Exposure

Das Essential Addons für Elementor Lite WordPress Plugin in der Version 4.5.4 verfügt über zwei Widgets, die gegenüber gespeichertem Cross-Site Scripting (XSS) von weniger privilegierten Nutzern wie  „Contributors“ anfällig sind.

Weitere Widgets erlauben das Einfügen von JavaScript über verschiedene Parameter.

Die genauen Schwachstellen haben wir euch kürzlich im Blog-Beitrag zur Sicherheitslücke des Elementor-Plugin bekannt gegeben: https://www.hostpress.de/blog/sicherheitsluecke-bei-wordpress-plugin-essential-addons-elementor/

Da es sich um einen Sicherheits-Release handelt, empfehlen wir euch die Sicherheitslücken dringend zu schließen, indem ihr euer WordPress auf die neueste Version 5.7.1 aktualisiert.

 

Quelle: https://wpscan.com/vulnerability/6a3ec618-c79e-4b9c-9020-86b157458ac5

 

Sicherheitslücke WordPress 5.6-5.7: Authenticated XXE Within the Media Library Affecting PHP 8

Ein Benutzer mit der Fähigkeit, Dateien hochzuladen (wie ein Autor), kann ein XML-Parsing-Problem in der Medienbibliothek ausnutzen, das zu XXE-Angriffen führt. WordPress verwendete eine Audio-Parsing Bibliothek namens ID3, die von einer XML External Entity (XXE) Schwachstelle betroffen war, die PHP Version 8 und höher betrifft. Diese Schwachstelle kann beim Parsen von WAVE-Audiodateien ausgelöst werden.

 

Da es sich um einen Sicherheits-Release handelt, empfehlen wir euch die Sicherheitslücken dringend zu schließen, indem ihr euer WordPress auf die neueste Version 5.7.1 aktualisiert sowie auf die neueste PHP-Version 8.

 

Quelle: https://wpscan.com/vulnerability/cbbe6c17-b24e-4be4-8937-c78472a138b5

 

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

 




Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.




 

 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.