Sicherheitslücke bei WordPress Plugin – Autoptimize

wordpress plugin autoptimize sicherheitslücke
JohannesVon Johannes|9. Mai 2021

Alle WordPress-Sicherheitslücken monatlich zusammengefasst:

Sicherheitslücke bei WordPress Plugin – Autoptimize

Aktuell wurde eine Sicherheitslücke bei dem WordPress Plugin Autoptimize von Frank Goossens gemeldet. Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

Inzwischen gibt es für das bedeutendste CMS der Welt über 10.000 frei verfügbare Themes sowie 55.000+ frei nutzbare Plugins. Dadurch ergibt sich insgesamt auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese immer schnell per Update gefixt werden können.

 

Das WordPress Plugin: Autoptimize

Autoptimize ist ein nützliches Plugin um die Performance deiner Webseite zu optimieren. Hier findest du übrigens unseren umfassenden Beitrag zum Thema Performance Optimierung für WordPress. Damit kannst du den Datenverkehr bei Seitenaufrufen und anderen Abfragen in deinem WordPress minimieren und einiges mehr, wodurch sich die Ladeprozesse mitunter stark beschleunigen lassen. Für HostPress-Kunden sind diese Features schon automatisch implementiert.
Autoptimize zählt laut WordPress.org aktuell 1.000.000+ aktive Installationen.

 

The plugin was missing proper escaping and sanitisation in some of its settings, allowing high privilege users to set XSS payloads in them, leading to stored Cross-Site Scripting issues

 


Bekannt geworden am 07.05.2021:

Sicherheitslücke: Authenticated Stored Cross-Site Scripting (XSS)

he plugin was missing proper escaping and sanitisation in some of its settings, allowing high privilege users to set XSS payloads in them, leading to stored Cross-Site Scripting issues

Manche Parametereingaben der Einstellungen wurden nicht ausreichend überprüft. Dadurch war es eingeloggten high priviledge Usern möglich, darin XSS-Payloads zu setzen, was letztlich als stored Cross-Site Scripting missbraucht werden kann.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version 2.8.4 aktualisiert wird.
Quelle: https://wpscan.com/vulnerability/6678e064-ce21-4bb2-8c50-061073fb22fb

Im Rahmen unserer Dienstleistung SecurePlan halten wir deine Plugins, Themes und den Core durch regelmäßige Updates immer auf dem neuesten Stand.

 

 


 

! Kostenloser Speedtest (CTA-Box) - 04/22 - /blog/

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.

Mit dem Absenden dieses Formulars stimmst du unseren Datenschutzbestimmungen zu.

 


Bekannt geworden am 24.08.2020:

Sicherheitslücke: Authenticated Arbitrary File Upload

Der ao_ccss_import AJAX-Aufruf prüft nicht zuverlässig, ob die hochzuladende Datei eine ordnungsgemäße Zip-Datei ist. Dadurch können eingeloggte User mit höhere Privilegienstufe beliebige Dateien hochladen und somit per PHP-Files eine Remote Code Execution ermöglichen.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version 2.7.7 aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10372

Im Rahmen unserer Dienstleistung SecurePlan halten wir deine Plugins, Themes und den Core durch regelmäßige Updates immer auf dem neuesten Stand.

 


Bekannt geworden am 24.08.2020:

Sicherheitslücke: Authenticated Arbitrary File Upload

Der ao_ccss_import AJAX-Aufruf prüft nicht zuverlässig, ob die hochzuladende Datei eine ordnungsgemäße Zip-Datei ist. Dadurch können eingeloggte User mit höhere Privilegienstufe beliebige Dateien hochladen und somit per PHP-Files eine Remote Code Execution ermöglichen.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version 2.7.7 aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10372

Im Rahmen unserer Dienstleistung SecurePlan halten wir deine Plugins, Themes und den Core durch regelmäßige Updates immer auf dem neuesten Stand.