Aktuell wurde eine Sicherheitslücke bei dem Pagebuilder-Plugin KingComposer gemeldet.
Was zu tun ist, ein paar Details zur Sicherheitslücke und allgemeine Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.
Der WordPress Page Builder KingComposer by King-Theme
KingComposer ist ein leichtgewichtiges Pagebuilder-Plugin mit einem professionellen Back-End Editor. Das Plugin bietet zusätzlich eine Pro-Version mit exklusiven Funktionen wie einem entsprechenden Front-End Editor für Live-Änderungen. Beliebt ist es insbesondere wegen seiner sehr intuitiven Benutzeroberfläche.
Das Plugin zählt laut WordPress.org aktuell über 100.000 aktive Nutzer.
Veröffentlicht am 09.07.2020:
Sicherheitslücke: Unauthenticated Reflected Cross-Site Scripting
Aktuell wurde eine reflected XSS-Sicherheitslücke in den Versionen bis 2.9.4 gefixt. Diese Lücke wird immer einmalig ausgenutzt und führt im Browser des Opfers zur Ausführung von Schadcode, wenn bspw. ein manipulierter Link aufgerufen wird. Dadurch konnte in diesem Fall ein install_online_preset AJAX-Request ausgelöst werden, welcher base64-kodiertes JavaSkript enthält und dieses schließlich im Browser des Opfers ausführt. Wie immer empfehlen wir euch, diese Lücke möglichst bald zu schließen.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (2.9.5) aktualisiert wird.
Quellen: wpvulndb.com/vulnerabilities/10297
Mehr dazu (Englisch): wordfence.com/blog/2020/07/xss-flaw-impacting-100000-sites-patched-in-kingcomposer/
Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.
Veröffentlicht am 16.06.2020:
Sicherheitslücken: Stored Cross-Site-Scripting, Content Injection, arbitrary file deletion, remote code execution
Verschiedene kritische Lücken wurden hier offenbart und wir empfehlen ein schnelles Update.
Diese Sicherheitslücken können geschlossen werden, indem das Plug-In auf die neueste Version (2.9.4) aktualisiert wird.
Quellen: https://wpvulndb.com/vulnerabilities/10270
Mehr dazu (Englisch): https://blog.nintechnet.com/wordpress-kingcomposer-page-builder-fixed-multiple-critical-vulnerabilities/
Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.
Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– fast 10.000 frei verfügbare Themes und über 55.000 verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.
Mehr aktuelle und beliebte Beiträge rund um WordPress & Co.:
Alle WordPress-Sicherheitslücken ▶Dezember 2020 – Plugin, Theme, Core
Alle Sicherheitslücken der anderen Monate findest du hier:……
HTTP/3 – Good bye TCP, hallo QUIC – ein Ausblick
HTTP/3 – das nächste HTTP Major Release Das Hypertext Transfer Protocol (HTTP) ist eine der…
Alle WordPress-Sicherheitslücken ▶November 2020 – Plugin, Theme, Core
Alle Sicherheitslücken der anderen Monate findest du hier:……
Was ist Managed WordPress Hosting und was unterscheidet HostPress von anderen Anbietern?
Was ist Managed WordPress Hosting? …und worauf man bei der Wahl des richtigen Anbieters…