Sicherheitslücke bei WordPress-Plugin: All-in-One WP Migration

Aktuell wurde uns eine Sicherheitslücke bei dem WordPress Plugin „All-in-One WP Migration“ gemeldet. Wir erklären euch kurz, was ihr tun könnt, wenn ihr das Plug-In auf eurer WordPress Seite nutzt.

Das WordPress Plugin: All-in-One WP Migration

Dieses Plugin exportiert eure WordPress-Seite inklusive Datenbank, Mediadaten, Plugins und Themes und ist gleichzeitig sehr einfach zu bedienen. Mit über 2 Mio aktiven Installationen ein beliebtes Plugin, zeichnet es sich auch durch gute Kompatibilitäten aus. In der unlimited extension ist auch eine WP-CLI-Integration verfügbar.

Bekannt geworden am 17.07.2019:

Sicherheitslücke: XSS in admin backend

Ein Angreifer, dem es gelingt, Zugriff auf die Datenbank oder eine privilegierte Session zu erhalten, kann dann beliebigen Code einschleusen, wodurch sich eine ernsthafte Bedrohung ergibt. Durch Doppelklick auf die Backup-Deskription auf der Übersichtsseite der Backup-History hat man die Möglichkeit, des Beschreibungstext zu ändern. Dieser ist wiederum nicht korrekt kontrolliert und dient dadurch als Schleuse für willkürlichen Code.

Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (7.0) aktualisiert wird.

Quelle: https://wpvulndb.com/vulnerabilities/9461

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.