Facebook for WordPress Sicherheitslücke

Alle WordPress-Sicherheitslücken im Monatsrückblick:

Sicherheitslücke bei WordPress-Plugin: Facebook for WordPress

 

Aktuell wurde eine Sicherheitslücke bei dem weit verbreiteten WordPress Plugin Facebook for WordPress veröffentlicht. Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 

Das WordPress Plugin: Facebook for WordPress

Das Plugin Facebook for WordPress installiert ein Facebook-Pixel für deine Webseite, sodass Aktionen, die ein Benutzer auf deiner Seite tätigt, wie z.B. Kauf-Ereignisse, Content ansehen uvm. erfasst werden können. Mithilfe des Plugins kannst du die Reise deiner Kunden von dem Moment, an dem sie Interesse an deinem Unternehmen zeigen, bis hin zu einer Conversion, nachverfolgen und deine Kunden dadurch besser verstehen. Dank dieser Infos kannst du eine Werbekampagne auf Facebook erstellen, die genau für deine Zielgruppe relevant ist.
Laut WordPress.org zählt das Plugin aktuell über 500.000 aktive Nutzer.

 


Veröffentlicht am 25.03.2021:

Sicherheitslücke: CSRF to Stored XSS and Settings Deletion

Durch die Sicherheitslücke waren AJAX-Aktionen des Plugins anfällig für CSRF (Website-übergreifende Anfragenfälschung), da es an Nonce-Schutz mangelte.

Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die Version (3.0.4) aktualisiert wird.

Quelle: https://wpscan.com/vulnerability/169d21fc-d191-46ff-82e8-9ac887aed8a4

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.


Veröffentlicht am 25.03.2021:

Sicherheitslücke: PHP Object Injection with POP Chain

Durch die Sicherheitslücke konnte die run_action Funktion des Plugins vom Benutzer gelieferte Daten deserialisieren und so PHP Objekte bereitstellen. Durch eine magische Methode haben Angreifer die Möglichkeit die Seite anzugreifen.

Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die Version (3.0.0) aktualisiert wird.

Quelle: https://wpscan.com/vulnerability/509f2754-a1a1-4142-9126-ae023a88533a

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

 




Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.


 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.