Sicherheitslücke bei WordPress-Plugin: Elementor Page Builder

Elementor Page Builder Sicherheitslücke
Aktuell wurde uns eine Sicherheitslücke bei dem weit verbreiteten WordPress Plugin Elementor Page Builder gemeldet.
Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 

Das WordPress Plugin: Elementor by Elementor.com

Nicht ohne Grund ist der Page Builder Elementor so beliebt. Das Plugin wird stets zielgerichtet weiterentwickelt, wobei sowohl Usability als auch Kodierung -insbesondere im Hinblick auf die Ladezeiten- im Fokus stehen. Live Design nennt man den Ansatz, nicht mehr länger zwischen Front- und Backend springen zu müssen, um Auswirkung von Änderungen zu sehen. Keine Vorschau, Aktualisieren, etc.pp. mehr, all das erledigt man live in ein und derselben Oberfläche – mit oder ohne Gutenberg. Inzwischen gibt es für das Plugin über 100 Themes, sowie über 300 Blöcke, aus denen man wählen kann. Nicht zuletzt, weil die Community sehr groß ist und das Plugin laut WordPress.org aktuell über 4.000.000 aktive Nutzer zählt.

 

Bekannt geworden am 29.01.2020:

Sicherheitslücke: Authenticated Reflected XSS

Beim Cross-Site-Scripting (XSS) gelingt es einem Angreifer, Schadcode in ein vermeintlich vertrauenswürdiges Umfeld einzuschleusen. Sie zählt zu den häufigsten Angriffsmethoden im Internet und kann je nach Ausprägung eine sehr ernste Bedrohung darstellen. Nicht zuletzt, weil es Tools und Frameworks gibt, die genau solche Lücken ausfindig machen und teilweise auch direkt missbrauchen. Das hier vorliegende reflektierte XSS wird hauptsächlich zu Phishing-Attacken verwendet. Gibt der Betroffene seine Daten unter einer manipulierten URL und scheinbar vertrauenswürdigen Seite ein, werden diese vom Angreifer abgefangen und können so missbraucht werden. In diesem konkreten Fall befand sich die Lücke auf der elementor-system-info -Seite.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (2.8.5) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10051

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.