Sicherheitslücke bei WordPress-Plugin King Composer

11. Juli 2020
|In Security
|Von Johannes

WordPress Sicherheitslücke bei pagebuilder KingComposer

Aktuell wurde eine Sicherheitslücke bei dem Pagebuilder-Plugin KingComposer gemeldet.
Was zu tun ist, ein paar Details zur Sicherheitslücke und allgemeine Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 

Der WordPress Page Builder KingComposer by King-Theme

KingComposer ist ein leichtgewichtiges Pagebuilder-Plugin mit einem professionellen Back-End Editor. Das Plugin bietet zusätzlich eine Pro-Version mit exklusiven Funktionen wie einem entsprechenden Front-End Editor für Live-Änderungen. Beliebt ist es insbesondere wegen seiner sehr intuitiven Benutzeroberfläche.  
Das Plugin zählt laut WordPress.org aktuell über 100.000 aktive Nutzer.

 

 

 

Veröffentlicht am 09.07.2020:

Sicherheitslücke: Unauthenticated Reflected Cross-Site Scripting

Aktuell wurde eine reflected XSS-Sicherheitslücke in den Versionen bis 2.9.4 gefixt. Diese Lücke wird immer einmalig ausgenutzt und führt im Browser des Opfers zur Ausführung von Schadcode, wenn bspw. ein manipulierter Link aufgerufen wird. Dadurch konnte in diesem Fall ein install_online_preset AJAX-Request ausgelöst werden, welcher base64-kodiertes JavaSkript enthält und dieses schließlich im Browser des Opfers ausführt. Wie immer empfehlen wir euch, diese Lücke möglichst bald zu schließen. 

Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (2.9.5) aktualisiert wird.
Quellen: wpvulndb.com/vulnerabilities/10297
Mehr dazu (Englisch): wordfence.com/blog/2020/07/xss-flaw-impacting-100000-sites-patched-in-kingcomposer/

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

 

 

 

 

Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.

 

 

Veröffentlicht am 16.06.2020:

Sicherheitslücken: Stored Cross-Site-Scripting, Content Injection, arbitrary file deletion, remote code execution

Verschiedene kritische Lücken wurden hier offenbart und wir empfehlen ein schnelles Update.
Diese Sicherheitslücken können geschlossen werden, indem das Plug-In auf die neueste Version (2.9.4) aktualisiert wird.
Quellen: https://wpvulndb.com/vulnerabilities/10270
Mehr dazu (Englisch): https://blog.nintechnet.com/wordpress-kingcomposer-page-builder-fixed-multiple-critical-vulnerabilities/

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

 

 

 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– fast 10.000 frei verfügbare Themes und über 55.000 verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.