Sicherheitslücke bei WordPress-Plugin: Custom Post Type UI

Sicherheitslücke WordPress Plugin custom post type ui
Aktuell wurde uns eine Sicherheitslücke bei dem beliebten WordPress Plugin Custom Post Type UI alias CPTUI gemeldet.
Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

Das WordPress Plugin: Custom Post Type UI – by WebDevStudios

Das Plugin bietet eine einfache Möglichkeit sogenannte Custom Post Types und Taxonomien zu erstellen und verwalten. Damit kann man seinen Content beliebig strukturieren und indivuelle Vorlagen mit vordefininierten Custom Fields, sowie geeignete Kategorien zu definieren. Das selbe tun übrigens auch Plugins wie WPForms oder WooCommerce, welches bspw. einen Produkt-Custom Post Type hinzufügt. Auf der Entwicklerseite kann man sich auch Layouts und Anwendungsbeispiele anschauen.
Das Plugin zählt laut WordPress.org aktuell über 800.000 aktive Nutzer.

 


Bekannt geworden am 18.03.2020:

Sicherheitslücke: CSRF + XSS

Das CPTUI WordPress Plugin war vor dem Update durch Cross-Site Request Forgery (CSRF) und Stored Cross-Site Scripting (XSS) gefährdet. Durch Missbrauch der „Import Post Types“-Funktion war es möglich, beliebigen JavaScript-Code im Browser eines betroffenen Nutzers auszuführen. Die kann prinzipiell zu einer kompletten Übernahme einer Seite genutzt werden.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (1.7.4) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10138
mehr Details (Englisch) unter: https://plugins.trac.wordpress.org/changeset/2263231/custom-post-type-ui

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

 

 


Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.


Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.