Sicherheitslücke bei WordPress-Plugin: Elementor Page Builder

Elementor Page Builder Sicherheitslücke
Aktuell wurde eine Sicherheitslücke bei dem weit verbreiteten WordPress Plugin Elementor Page Builder veröffentlicht. Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 

Das WordPress Plugin: Elementor by Elementor.com

Nicht ohne Grund ist der Page Builder Elementor so beliebt. Das Plugin wird stets zielgerichtet weiterentwickelt, wobei sowohl Usability als auch Kodierung -insbesondere im Hinblick auf die Ladezeiten- im Fokus stehen. Live Design nennt man den Ansatz, nicht mehr länger zwischen Front- und Backend springen zu müssen, um Auswirkung von Änderungen zu sehen. Keine Vorschau, Aktualisieren, etc.pp. mehr, all das erledigt man live in ein und derselben Oberfläche – mit oder ohne Gutenberg. Inzwischen gibt es für das Plugin über 100 Themes, sowie über 300 Blöcke, aus denen man wählen kann. Nicht zuletzt, weil die Community sehr groß ist und das Plugin laut WordPress.org aktuell über 4.000.000 aktive Nutzer zählt.

 


Veröffentlicht am 06.05.2020:

Sicherheitslücke: Lücke im SVG-Upload → Authenticated Stored XSS

Ein authentifizierter Nutzer -bspw. ein Author- kann zunächst den SVG-Upload (Scalable Vector Graphics) erlauben und in der Folge beliebig bösartiges JavaScript oder HTML-Tags hochladen. Wo der hochzuladende Inhalt normalerweise auf dergleichen geprüft werden müsste, war dies nämlich beim SVG-Upload nicht sichergestellt, wodurch sich viele Möglichkeiten zum Missbrauch ergeben – nicht zuletzt sogenannte Authenticated Stored XSS mit allen möglichen Folgen. So sind in der Folge schließlich unbedarfte Besucher der eigentlichen Seite das Angriffsziel und können von bösartigen Weiterleitungen über den Diebstahl ihrer Daten betroffen sein.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die Version (2.9.8) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10213
mehr Details (Englisch) unter: https://blog.nintechnet.com/wordpress-elementor-plugin-fixed-svg-xss-protection-bypass-vulnerability/

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.


 

Veröffentlicht am 31.03.2020:

Sicherheitslücke: AUTHBYPASS – Authenticated Safe Mode Privilege Escalation

Durch diese Lücke ist es einem unauthentifizierten Nutzer möglich, den Safe Mode zu aktivieren. In der Folge können so auch Plugins deaktiviert werden. Sind dabei Sicherheitsplugins betroffen, kann die Seite auch für weitere Angriffe empfindlich werden.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die Version (2.9.6) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10156
mehr Details (Englisch) unter: https://blog.nintechnet.com/wordpress-elementor-plugin-fixed-safe-mode-privilege-escalation-vulnerability/

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

 


 

Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.

 


Bekannt geworden am 29.01.2020:

Sicherheitslücke: Authenticated Reflected XSS

Beim Cross-Site-Scripting (XSS) gelingt es einem Angreifer, Schadcode in ein vermeintlich vertrauenswürdiges Umfeld einzuschleusen. Sie zählt zu den häufigsten Angriffsmethoden im Internet und kann je nach Ausprägung eine sehr ernste Bedrohung darstellen. Nicht zuletzt, weil es Tools und Frameworks gibt, die genau solche Lücken ausfindig machen und teilweise auch direkt missbrauchen. Das hier vorliegende reflektierte XSS wird hauptsächlich zu Phishing-Attacken verwendet. Gibt der Betroffene seine Daten unter einer manipulierten URL und scheinbar vertrauenswürdigen Seite ein, werden diese vom Angreifer abgefangen und können so missbraucht werden. In diesem konkreten Fall befand sich die Lücke auf der elementor-system-info -Seite.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die Version (2.8.5) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10051

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.


 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.