Sicherheitslücke im WordPress Plugin-Framework YITH

YITH Framework

Aktuell wurde uns eine Sicherheitslücke bei den beliebten WordPress Plugins von YITH gemeldet. Hierbei sind zahlreiche Plugins mit dem YITH-Framework betroffen. Was zu tun ist, Details zur Sicherheitslücke und allgemeine Infos zu den Plugins findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 

Die WordPress Plugins YITH WooCommerce – Quick View, Compare und Wishlist

Von den Sicherheitslücken sind mehrere Dutzend YITH-Plugins betroffen, unter anderem auch YITH WooCommerce Quick View, YITH WooCommerce Compare und YITH WooCommerce Wishlist, die laut WordPress.org jeweils 100k+ aktive Installationen aufweisen. Die Plugins dienen dazu, dein WooCommerce mit interessanten Funktionen auszustatten. So kann man es Besuchern mit Wishlist ermöglichen, eine Wunschliste der Artikel in seinem Shop anzulegen. Mit Compare können deine Produkte miteinander verglichen werden und Quick View macht es möglich eine vergrößerte Anzeige von Artikelbildern mit einer Infoübersicht anzuzeigen. Alles in allem praktische und beliebte Tools zum Erweitern und Optimieren deines WooCommerce.

 

Sicherheitslücke: Authenticated settings change vulnerability

Die Lücke ergibt sich grundsätzliche aus dem „plugin-fw/lib/yit-plugin-panel-wc.php”-Skript. So kann es eingeloggten Benutzern möglich sein, die Einstellungen des Plugins selbst zu ändern. Über das Ausmaß der damit verbundenen Risiken besteht noch Unklarheit. Natürlich sollte man die Lücke aber durch ein Update auf die jeweils neueste Version des entsprechenden Plugins schließen – um keine unnötigen Risiken einzugehen.

 

Hier noch einmal eine Liste der betroffenen YITH-Plugins (exklusive YITH-Premiumplugins & absteigend sortiert nach Benutzeranzahl) :

 

 

Diese Sicherheitslücken können geschlossen werden, indem das entsprechende Plug-In auf die neueste Version (siehe Aufzählung ) aktualisiert wird.

 

Quelle: https://wpvulndb.com/vulnerabilities/9932
Bekannt geworden am 31.10.2019

 

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.