Sicherheitslücke bei WordPress Plugin: InfiniteWP

infinite wp infiniteWP authentication bypass

Aktuell wurde uns eine Sicherheitslücke bei dem beliebten WordPress Plugin InfiniteWP gemeldet. Was zu tun ist, Details zur Sicherheitslücke und allgemeine Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ frei nutzbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt, solche Sicherheitslücken aufzudecken, damit diese behoben werden können.

 

Das WordPress-Plugin – InfiniteWP by Revmakx

InfiniteWP ist ein beliebtes Plugin zur zentralen Verwaltung verschiedener WordPress-Seiten.
Zu seinen Hauptfunktionen zählen:

  • Es ermöglicht Instant Backups und Restores von Seiten oder Datenbänken
  • One-Click-
    • Zugang zu allen WP-Adminpanels
    • Updates für WordPress, Plugins und Themes über alle verwalteten Seiten hinweg
  • Bulk-Verwaltung von Plugins und Themes: Jeweils mehrere gleichzeitig und über verschiedene Seiten hinweg installieren, aktivieren oder deaktivieren.

InifiniteWP zählt laut wordpress.org aktuell über 300.000 aktive Installationen.

 

Bekannt geworden am 09.01.2020:

Sicherheitslücke: Authentication Bypass

Das Plugin weist Mängel bei der Überprüfung des User-Status auf. Gibt sich ein Besucher bspw. als Admin aus, fehlt der Software unter gewissen Umständen die Fähigkeit, das zu überprüfen. Somit kann ein Angreifer bspw. sensible Informationen über die installierten WordPress-Plugins oder auch über die Webserver- oder PHP-Konfiguration erlangen. Auch weitere Lücken sind durch diesen Umstand denkbar, weswegen man das Risiko wieder schnell beseitigen sollte.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (1.9.4.5) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10011

 

Falls du über den HostPress SecurePlan verfügst, erhältst du Sicherheitsupdates dieser Art unmittelbar nach Bekanntgabe der Sicherheitslücke.

 
 

Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.