sicherheitslücke wordpress core 5.7

Alle WordPress-Sicherheitslücken im Monatsrückblick:

Sicherheitslücke bei WordPress < 5.7

 

Aktuell wurde ein Sicherheits- und Wartungsrelease 5.7.1 veröffentlicht, um mehrere Sicherheitslücken und Bugs in den Versionen älter als 5.7 zu schließen. Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zu WordPress-Plugins findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 


❌❗ Update: am 13.05.2021 wurde eine weitere Sicherheitslücke veröffentlicht, welche alle Versionen ab 3.7 betrifft und über den PHP-Mailer Object Injection und so schließlich die Übernahme einer Seite ermöglicht. Diese Lücke kann durch ein Update auf das aktuelle Release WordPress 5.7.2 geschlossen werden.

Quelle: https://wpscan.com/vulnerability/4cd46653-4470-40ff-8aac-318bee2f998d ❗❌

 


Veröffentlicht am 15.04.2021:

Das Sicherheits- und Wartungsrelease WordPress 5.7.1 behebt 26 Bugs und schließt zwei Sicherheitslücken.

Sicherheitslücke WordPress 4.7-5.7: Authenticated Password Protected Pages Exposure

Das Essential Addons für Elementor Lite WordPress Plugin in der Version 4.5.4 verfügt über zwei Widgets, die gegenüber gespeichertem Cross-Site Scripting (XSS) von weniger privilegierten Nutzern wie  „Contributors“ anfällig sind.

Weitere Widgets erlauben das Einfügen von JavaScript über verschiedene Parameter.

Die genauen Schwachstellen haben wir euch kürzlich im Blog-Beitrag zur Sicherheitslücke des Elementor-Plugin bekannt gegeben: https://www.hostpress.de/blog/sicherheitsluecke-bei-wordpress-plugin-essential-addons-elementor/

Da es sich um einen Sicherheits-Release handelt, empfehlen wir euch die Sicherheitslücken dringend zu schließen, indem ihr euer WordPress auf die neueste Version 5.7.1 aktualisiert.

 

Quelle: https://wpscan.com/vulnerability/6a3ec618-c79e-4b9c-9020-86b157458ac5

 

Sicherheitslücke WordPress 5.6-5.7: Authenticated XXE Within the Media Library Affecting PHP 8

Ein Benutzer mit der Fähigkeit, Dateien hochzuladen (wie ein Autor), kann ein XML-Parsing-Problem in der Medienbibliothek ausnutzen, das zu XXE-Angriffen führt. WordPress verwendete eine Audio-Parsing Bibliothek namens ID3, die von einer XML External Entity (XXE) Schwachstelle betroffen war, die PHP Version 8 und höher betrifft. Diese Schwachstelle kann beim Parsen von WAVE-Audiodateien ausgelöst werden.

 

Da es sich um einen Sicherheits-Release handelt, empfehlen wir euch die Sicherheitslücken dringend zu schließen, indem ihr euer WordPress auf die neueste Version 5.7.1 aktualisiert sowie auf die neueste PHP-Version 8.

 

Quelle: https://wpscan.com/vulnerability/cbbe6c17-b24e-4be4-8937-c78472a138b5

 

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

 




! Kostenloser Speedtest (CTA-Box) - 04/22 - /blog/

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.

Mit dem Absenden dieses Formulars stimmst du unseren Datenschutzbestimmungen zu.




 

 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.