Sicherheitslücke bei WordPress Plugin – Autoptimize
Alle WordPress-Sicherheitslücken monatlich zusammengefasst:
Sicherheitslücke bei WordPress Plugin – Autoptimize
Aktuell wurde eine Sicherheitslücke bei dem WordPress Plugin Autoptimize von Frank Goossens gemeldet. Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.
Inzwischen gibt es für das bedeutendste CMS der Welt über 10.000 frei verfügbare Themes sowie 55.000+ frei nutzbare Plugins. Dadurch ergibt sich insgesamt auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese immer schnell per Update gefixt werden können.
Das WordPress Plugin: Autoptimize
Autoptimize ist ein nützliches Plugin um die Performance deiner Webseite zu optimieren. Hier findest du übrigens unseren umfassenden Beitrag zum Thema Performance Optimierung für WordPress. Damit kannst du den Datenverkehr bei Seitenaufrufen und anderen Abfragen in deinem WordPress minimieren und einiges mehr, wodurch sich die Ladeprozesse mitunter stark beschleunigen lassen. Für HostPress-Kunden sind diese Features schon automatisch implementiert.
Autoptimize zählt laut WordPress.org aktuell 1.000.000+ aktive Installationen.
The plugin was missing proper escaping and sanitisation in some of its settings, allowing high privilege users to set XSS payloads in them, leading to stored Cross-Site Scripting issues
Bekannt geworden am 07.05.2021:
Sicherheitslücke: Authenticated Stored Cross-Site Scripting (XSS)
he plugin was missing proper escaping and sanitisation in some of its settings, allowing high privilege users to set XSS payloads in them, leading to stored Cross-Site Scripting issues
Manche Parametereingaben der Einstellungen wurden nicht ausreichend überprüft. Dadurch war es eingeloggten high priviledge Usern möglich, darin XSS-Payloads zu setzen, was letztlich als stored Cross-Site Scripting missbraucht werden kann.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version 2.8.4 aktualisiert wird.
Quelle: https://wpscan.com/vulnerability/6678e064-ce21-4bb2-8c50-061073fb22fb
Im Rahmen unserer Dienstleistung SecurePlan halten wir deine Plugins, Themes und den Core durch regelmäßige Updates immer auf dem neuesten Stand.
Bekannt geworden am 24.08.2020:
Sicherheitslücke: Authenticated Arbitrary File Upload
Der ao_ccss_import AJAX-Aufruf prüft nicht zuverlässig, ob die hochzuladende Datei eine ordnungsgemäße Zip-Datei ist. Dadurch können eingeloggte User mit höhere Privilegienstufe beliebige Dateien hochladen und somit per PHP-Files eine Remote Code Execution ermöglichen.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version 2.7.7 aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10372
Im Rahmen unserer Dienstleistung SecurePlan halten wir deine Plugins, Themes und den Core durch regelmäßige Updates immer auf dem neuesten Stand.
Bekannt geworden am 24.08.2020:
Sicherheitslücke: Authenticated Arbitrary File Upload
Der ao_ccss_import AJAX-Aufruf prüft nicht zuverlässig, ob die hochzuladende Datei eine ordnungsgemäße Zip-Datei ist. Dadurch können eingeloggte User mit höhere Privilegienstufe beliebige Dateien hochladen und somit per PHP-Files eine Remote Code Execution ermöglichen.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version 2.7.7 aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10372
Im Rahmen unserer Dienstleistung SecurePlan halten wir deine Plugins, Themes und den Core durch regelmäßige Updates immer auf dem neuesten Stand.
Mehr aktuelle Beiträge rund um WordPress & Co.: