Sicherheitslücke bei WordPress-Plugin: All-in-One WP Migration

25. März 2020
|In Security
|Von Johannes

All-in-One WP Migration

Aktuell wurde uns eine Sicherheitslücke bei dem beliebten WordPress Plugin All-in-One WP Migration gemeldet.
Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 

Das WP-Plugin: All-in-One WP Migration by ServMask

Dieses Plugin exportiert eure WordPress-Seite inklusive Datenbank, Mediadaten, Plugins und Themes und ist gleichzeitig sehr einfach zu bedienen. Es unterstützt alle gängigen Betriebssysteme und ist mit über 2 Mio. aktiven Installationen ein sehr beliebtes Plugin. In der unlimited extension ist auch eine WP-CLI-Integration verfügbar.

 

Bekannt geworden am 25.03.2020:

Sicherheitslücke: Arbitrary Backup Download

Da die Dateinamen der Backup-Files nicht randomisiert sind, können unauthentifizierte Nutzer ggf. sensible Daten stehlen.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (7.15) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10151
mehr Details (Englisch) unter: https://vavkamil.cz/2020/03/25/all-in-one-wp-migration/

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

 

Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.


 

Bekannt geworden am 17.07.2019:

Sicherheitslücke: XSS in admin backend

Ein Angreifer, dem es gelingt, Zugriff auf die Datenbank oder eine privilegierte Session zu erhalten, kann dann beliebigen Code einschleusen, wodurch sich eine ernsthafte Bedrohung ergibt. Durch Doppelklick auf die Backup-Deskription auf der Übersichtsseite der Backup-History hat man die Möglichkeit, des Beschreibungstext zu ändern. Dieser ist wiederum nicht korrekt kontrolliert und dient dadurch als Schleuse für willkürlichen Code.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (7.0) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9461

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.