Alle WordPress-Sicherheitslücken monatlich zusammengefasst:

WordPress Plugin Events Manager Sicherheitslücke

Sicherheitslücke bei WordPress-Plugin: Events Manager

Aktuell wurde eine Sicherheitslücke bei dem beliebten WordPress Plugin Events Manager gemeldet.
Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

Das WordPress Plugin: Events Manager

Events Manager ist ein umfassendes Plugin mit dem man -wie der Name schon sagt- Events anlegen und Anmeldungen dazu entgegennehmen und verwalten kann.
Das Plugin zählt laut WordPress.org aktuell über 100.000 aktive Nutzer.

 

Bekannt geworden am 30.11.2020:

Sicherheitslücke: Cross-Site Scripting (XSS)

Cross-Site-Scripting ist eine Art der HTML Injektion. Cross-Site-Scripting kann dann geschehen, wenn Eingaben von einem nicht authentifizierten User ohne die notwendige Überprüfung an einen Browser weitergesendet werden. So kann ein Angreifer unter anderem indirekt Skripte an den Browser des Opfers senden, um so Schadcode direkt auf der Seite des Clients auszuführen.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (5.9.8) aktualisiert wird.
Quelle: https://wpscan.com/vulnerability/10488

 

Bekannt geworden am 30.11.2020:

Sicherheitslücke: SQL Injection

Durch diese Sicherheitslücke kann ein Angreifer mit dem gezielten Einsatz von Funktionszeichen, SQL-Befehle einschleusen und Einträge derart manipulieren, dass er Daten verändern, löschen oder lesen kann. In gravierenden Fällen ist es sogar möglich, dass sich ein Angreifer auf diesem Wege den Zugriff auf die Kommandozeile des befehlsausführenden Systems und damit über den gesamten Datenbankserver verschafft.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (5.9.8) aktualisiert wird.
Quelle: https://wpscan.com/vulnerability/10487

 

 

Bekannt geworden am 06.02.2020:

Sicherheitslücke: CSV Injection

Durch diese Sicherheitslücke kann ein Angreifer in einem Formular OS-Befehle einfügen, welche dann in der exportierten CSV-Datei enthalten sind. Dadurch werden im schlimmsten Fall schadhafte Befehle / Code ausgeführt. Wenn man auf seiner Seite einen CSV-Export verwendet, sollte man die Lücke zeitnah schließen.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (5.9.7.2) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10062

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.