Sicherheitslücke bei WordPress-Plugin: All-in-One WP Migration
Aktuell wurde uns eine Sicherheitslücke bei dem beliebten WordPress Plugin All-in-One WP Migration gemeldet.
Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.
Das WP-Plugin: All-in-One WP Migration by ServMask
Dieses Plugin exportiert eure WordPress-Seite inklusive Datenbank, Mediadaten, Plugins und Themes und ist gleichzeitig sehr einfach zu bedienen. Es unterstützt alle gängigen Betriebssysteme und ist mit über 2 Mio. aktiven Installationen ein sehr beliebtes Plugin. In der unlimited extension ist auch eine WP-CLI-Integration verfügbar.
Bekannt geworden am 25.03.2020:
Sicherheitslücke: Arbitrary Backup Download
Da die Dateinamen der Backup-Files nicht randomisiert sind, können unauthentifizierte Nutzer ggf. sensible Daten stehlen.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (7.15) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10151
mehr Details (Englisch) unter: https://vavkamil.cz/2020/03/25/all-in-one-wp-migration/
Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.
Bekannt geworden am 17.07.2019:
Sicherheitslücke: XSS in admin backend
Ein Angreifer, dem es gelingt, Zugriff auf die Datenbank oder eine privilegierte Session zu erhalten, kann dann beliebigen Code einschleusen, wodurch sich eine ernsthafte Bedrohung ergibt. Durch Doppelklick auf die Backup-Deskription auf der Übersichtsseite der Backup-History hat man die Möglichkeit, des Beschreibungstext zu ändern. Dieser ist wiederum nicht korrekt kontrolliert und dient dadurch als Schleuse für willkürlichen Code.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (7.0) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9461
Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.
Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.
Mehr aktuelle Beiträge rund um WordPress & Co.: