wordpress plugin - orbit fox - themeisle - sicherheitslücke

Alle WordPress-Sicherheitslücken im Monatsrückblick:

Sicherheitslücke bei WordPress-Plugin: Orbit Fox

 

Aktuell wurde eine Sicherheitslücke beim WordPress Plugin Orbit Fox von ThemeIsle gemeldet. Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 

Das WordPress-Plugin Orbit Fox

Mit dem Plugin Orbit Fox kannst du dein Theme einfach um diverse Funktionen erweitern. Dazu zählen Module für Social Share Buttons, Custom Menu Icons, Page Builder Addons, oder auch Google Analytics und Uptime-Monitoring.
Das Plugin zählt laut wordpress.org aktuell über 400.000 aktive Installationen.

 

Veröffentlicht am 12.01.2021:

Sicherheitslücken: Authenticated Privilege Escalation und Stored Cross-Site-Scripting (XSS)

Beim Feature zum Hinzufügen von Custom Scripts in Header/Footer auf Seiten/Beiträgen fehlte die Validierung der unfiltered_html Berechtigung. Dadurch konnten Nutzerollen mit eigentlich geringer Berechtigungsstufe potentiell gefährliche Skripte einbinden, wodurch sich die Authenticated (Missbrauch nur durch eingeloggte User möglich) Stored (Skript wird im WordPress gespeichert) XSS.

Über das Feature zum Hinzufügen von Registrierungsformularen in Elementor und Beaver Builder bestand eine Authenticated Privilege Escalation Lücke. Obwohl das Feld zum Einstellen der standardmäßigen Nutzerrolle bei der Registrierung neuer Nutzer (bspw. Subscriber) erst ab einer hochrangigen Benutzerrolle sichtbar ist, konnte der user_role_parameter dennoch von eingeloggten Usern mit niedriger Berechtigungsstufe manipuliert werden. Dadurch konnte man sich einfach als Admin registrieren, mit allen entsprechenden Gefahren.

Diese Sicherheitslücken können geschlossen werden, indem das Plug-In auf die Version (2.10.3) aktualisiert wird.
Quellen:
wpscan.com/orbit-fox-privilege-escalation
wpscan.com/orbit-fox-xss

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

 

 



! Kostenloser Speedtest (CTA-Box) - 04/22 - /blog/

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.

Mit dem Absenden dieses Formulars stimmst du unseren Datenschutzbestimmungen zu.



 

 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.