Alle WordPress-Sicherheitslücken monatlich zusammengefasst:

Sicherheitslücke bei WordPress Plugin: Easy WP SMTP

Aktuell wurde eine Sicherheitslücke bei dem WordPress Plugin „Easy WP SMTP“ gemeldet. Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 

Das WordPress Plugin: Easy WP SMTP

Das Plugin Easy WP SMTP ermöglicht die Konfiguration und den Versand aller ausgehenden E-Mails über einen SMTP-Server. Dadurch wird verhindert, dass Ihre E-Mails in den Junk/Spam-Ordner der Empfänger gelangen.

 

Bekannt geworden 7.12.2020:

Sicherheitslücke: Debug Log Disclosure

Das Plugin verfügt über eine optionale Debug-Log-Datei, die mit einem zufälligen Namen erzeugt wird, sich im Plugin-Ordner befindet und alle versendeten E-Mails enthält. Dieser Ordner hat jedoch keine Indexseite, die den Zugriff auf Logdateien auf Servern ermöglicht, bei denen die Verzeichnisliste aktiviert oder falsch konfiguriert ist. Dies könnte es Angreifern ermöglichen, unbefugten Zugriff auf den Blog zu gewinnen. Dazu braucht der Angreifer schließlich bloß das Admin-Passwort zurückzusetzen und kann den Reset-Link dann aus dem Protokoll auslesen. Letztlich stehen dann alle Daten, die Seite selbst oder die Sicherheit der Besucher auf dem Spiel.
Diese Lücke kann geschlossen werden, indem das Plugin auf die gefixte Version 1.4.3 geupdatet wird. 

Quelle: https://wpscan.com/vulnerability/14eade63-e365-4bfc-a30e-9e2a7e739049
Publisher / mehr Details: https://blog.nintechnet.com/wordpress-easy-wp-smtp-plugin-fixed-zero-day-vulnerability/

 


 

Bekannt geworden 28.11.2020:

Sicherheitslücke: Debug Log Disclosure

Das Plugin verfügt über eine optionale Debug-Log-Datei, die mit einem zufälligen Namen erzeugt wird, sich im Plugin-Ordner befindet und alle versendeten E-Mails enthält. Dieser Ordner hat jedoch keine Indexseite, die den Zugriff auf Logdateien auf Servern ermöglicht, bei denen die Verzeichnisliste aktiviert oder falsch konfiguriert ist. Dies könnte es Angreifern ermöglichen, unbefugten Zugriff auf den Blog zu gewinnen, indem sie das Admin-Passwort zurücksetzen und den Reset-Link aus dem Protokoll erhalten.

Quelle: https://wpscan.com/vulnerability/10494

 


 

Bekannt geworden 17.03.19

Sicherheitslücke: Unauthenticated Arbitrary wp_options Import

Das beliebte Easy WP SMTP-Plugin, das mehr als 300.000 aktive Installationen enthält, war anfällig für eine kritische Zero-Day Schwachstelle, die es einem nicht authentifizierten Benutzer ermöglicht, WordPress Optionen zu ändern oder Code neben anderen bösartigen Aktionen zu injizieren und auszuführen. Die Versionen 1.3.9 und älter sind von der Sicherheitslücke betroffen.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version aktualisiert wird.

Quelle: https://wpvulndb.com/vulnerabilities/9237

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

 


Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.


 

 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.