Sicherheitslücke bei WordPress Plugin: TablePress

 

tablepress sicherheitslücke csv injection

Aktuell wurde uns eine Sicherheitslücke bei dem beliebten WordPress Plugin TablePress gemeldet. Was zu tun ist, Details zur Sicherheitslücke und allgemeine Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ frei nutzbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt, solche Sicherheitslücken aufzudecken, damit diese behoben werden können.

 

Das WordPress-Plugin – TablePress by Tobias Bäthge

TablePress ist ein beliebtes Plugin zur Erstellung und Verwaltung von WordPress-Seiten. Er ermöglicht dir, Tabellen in Posts, Seiten oder auch Text-Widgets per Shortcode zu integrieren. Diese Tabellen können jede Art von Daten bis hin zu Formeln abbilden. Tabellen können von/nach Excel-, CSV-, HTML- und JSON-Dateien importiert/exportiert werden.

TablePress zählt laut wordpress.org aktuell über 800.000 aktive Installationen..

 

 

Bekannt geworden am 10.01.2020:

Sicherheitslücke: CSV Injection

CSV-Injection kann stattfinden, wenn Webseiten nicht vertrauenswürdigen Input über CSV-Dateien einbetten. Wenn ein Tabellenprogramm eine CSV öffnet, werden alle Zellen, die mit „=“ beginnen automatisch als Formeln auswertet. Über die CSV-Injection können Angreifer also auf dem Computer anderer Besucher der Seite Code ausführen lassen und so bspw. Malware verbreiten.

Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (1.10) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10016

 

 

Falls du über den HostPress SecurePlan verfügst, erhältst du Sicherheitsupdates dieser Art unmittelbar nach Bekanntgabe der Sicherheitslücke.