Sicherheitslücke bei WordPress-Plugin: Easy FancyBox by RavanH

sicherheitslücke easy fancybox

Aktuell wurde uns eine Sicherheitslücke bei dem WordPress Plugin Easy FancyBox by RavanH gemeldet. Was zu tun ist, Details zur Sicherheitslücke und allgemeine Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

Das WordPress Plugin: Easy FancyBox

Easy FancyBox ist eine angepasste Version der traditionellen FancyBox jQuery-Extension. Es ist ein Lightbox-Plugin zur Verwaltung verwendeter Medien und ist gleichzeitig Multi-Site-kompatibel.

Easy FancyBox zählt laut WordPress.org aktuell über 300.000 aktive Nutzer.

Sicherheitslücke: Stored XSS (Cross-Site-Scripting)

Mit Cross-Site-Scripting – kurz XSS – wird das Ausnutzen von Sicherheitslücken in Webanwendungen bezeichnet. Schädliche Skripte werden dabei in einen vertrauenswürdigen Kontext eingespeist, aus dem heraus sie das System der Nutzer angreifen können. Skripte sind Programme, die mit Skriptsprachen wie JavaScript und hauptsächlich als Quelltextdatei programmiert werden. Bei harmlosen Varianten handelt es sich beispielsweise um aufpoppende Willkommensgrüße, die lediglich etwas lästig sind. Im schlimmsten Fall erlangen Angreifer mithilfe solcher Skripte aber auch vertrauliche Informationen oder Zugriff auf den Computer des geschädigten Users.

 

Durch unsachgemäße Codierung von beliebig übermittelten Setting-Parametern macht das Easy FancyBox-Plugin für Stored XSS empfänglich. Unter Einstellungen > Media admin page /wp-admin/option-media.php besteht diese Sicherheitslücke für jede öffentlich zugängliche WordPress-Seite.

Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (1.8.18) aktualisiert wird.

 

Quelle: https://wpvulndb.com/vulnerabilities/9891
Bekannt geworden am 27.09.2019

 

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.