Sicherheitslücke bei WordPress Plugin: Jetpack
|3. Juni 2021Alle WordPress-Sicherheitslücken im Monatsrückblick:
Aktuell wurde eine Sicherheitslücke bei dem WordPress Plugin JetPack gemeldet. Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.
Inzwischen gibt es für das bedeutendste CMS der Welt weit über 10.000 frei verfügbare Themes sowie 55.000+ Plugins auf wordpress.org. Dadurch ergibt sich insgesamt auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese immer schnell per Update gefixt werden können.
Das WordPress-Plugin: Jetpack by automattic
Erstelle und personalisiere deine WordPress-Website von Anfang bis Ende. Jetpack bietet viele Funktionen. Design, Marketing und Sicherheit völlig stressfrei – alles an einem Ort. Jetpack bringt hunderte professionelle Themes für jede Art von Website mit, ermöglicht dir eine schnelle Bereitstellung von Bildern und Videoinhalten, sowie verzögertes Laden von Bildern für eine schnellere Anzeige auf Mobilgeräten und Integration der offiziellen mobilen WordPress-Apps. Außerdem kannst du mit dem Plugin die Performance deiner Webseite messen, Ads schalten und musst dir keine Sorgen um Datenverlust, Ausfallzeiten und Hacker machen.
Jetpack zählt laut WordPress.org aktuell 5.000.000+ aktive Installationen.
Veröffentlicht am 03.06.2021:
Sicherheitslücke: Insecure direct object reference (IDOR)
Über das Karusell-Modul können Bildergalerien erstellt werden und die User können die einzelnen Bilder kommentieren. Durch diese Lücke können auch unveröffentlichte Kommentare auf Seiten und Beiträgen direkt eingesehen werden.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die Version (9.8) aktualisiert wird.
Quelle: https://wpscan.com/vulnerability/08a8a51c-49d3-4bce-b7e0-e365af1d8f33
Im Rahmen unserer Dienstleistung SecurePlan halten wir deine Plugins, Themes und den Core durch regelmäßige Updates immer auf dem neuesten Stand.
Bekannt geworden am 19.11.2019:
Sicherheitslücke im Shortcode Embed Code
Seit 2017 bzw. Jetpack 5.1 bestand diese Lücke unbemerkt. Nun da sie veröffentlicht und behoben wurde, gilt es aber schleunigst zu updaten! Bei derart verbreiteten Plugins besteht schlicht ein sehr hohes Risiko. Weitere Details stehen uns aktuell nicht zur Verfügung.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (7.9.1) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9955
Bekannt geworden am 12.12.2018:
Sicherheitslücke: Authenticated Cross-Site Scripting (XSS)
Es wurde eine Sicherheitslücke gefunden, die sich auf ein Modul auswirkt, das für Premium- und professionelle Benutzer von Jetpack verfügbar ist. Angreifer, die die Kontrolle über ein Konto auf der Zielseite mit mindestens den Contributor-Privilegien erlangt haben, können beliebigen JavaScript-Code in das HTML Markup eines Blog-Posts einfügen. Sobald der Administrator der Zielseite den bösartigen Blog-Post sieht, wird böser Java Script-Code ausgeführt, der den Zielserver gefährdet. Die Sicherheitslücke betrifft die Versionen 6.4.2 und älter.
Aktualisiere das Plugin auf die neueste Version, um die Sicherheitslücke zu schließen.
Quelle: https://wpvulndb.com/vulnerabilities/9168
Falls du über den HostPress SecurePlan verfügst, erhältst du Sicherheitsupdates dieser Art unmittelbar nach Bekanntgabe der Sicherheitslücke.
Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.
Mehr aktuelle Beiträge rund um WordPress & Co.:
