Aktuell wurde uns eine Sicherheitslücke bei dem WordPress Plugin Widget Logic gemeldet. Wir erklären euch kurz, was ihr tun könnt, wenn ihr das Plug-In für eure WordPress-Seite nutzt.
Das WordPress-Plugin: Widget Logic
Widget Logic ermöglicht auf eine komfortable Weise, die Sichbarkeit von Widgets zu steuern. Dazu fügt es bei jedem Widget ein „Widget logic“-Kontrollkästchen ein, wodurch man steuern kann, auf welcher Seite das entsprechende Widget angezeigt werden soll. Das Ganze lässt sich ebenfalls über WordPress Conditional Tags oder per allgemeinem PHP-Code steuern.
Bekannt geworden am 01.07.2019:
Sicherheitslücke: Lack of CSRF and Authorisation checks
Hier besteht die Gefahr, dass ein nicht autorisierter Bösewicht unerlaubte Änderungen an den Einstellungen vornimmt.
Wir empfehlen euch ein Plugin-Update auf Version 5.10.3 und das Problem ist behoben.
Quelle: https://wpvulndb.com/vulnerabilities/9413
Bekannt geworden am 28.06.2019:
Sicherheitslücke: Cross-Site-Request-Forgery to Remote Code Execution / CSRF to RCE
Bei einer CSRF schiebt ein Angreifer einem bereits angemeldeten Nutzer eine HTTP-Anfrage unter. Dadurch kann die angesprochene Webanwendung dazu gebracht werden, eine vom Angreifer gewünschte Aktion durchzuführen. In diesem Fall kann über custom sidebar widgets Code eingeschleust und ausgeführt werden. Das nennt man dann Remote Code Execution oder RCE, womit durchaus erhebliche Risiken verbunden sind.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version 5.10.2 aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9403
Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.
Mehr aktuelle und beliebte Beiträge rund um WordPress & Co.:
Alle WordPress-Sicherheitslücken ▶Dezember 2020 – Plugin, Theme, Core
Alle Sicherheitslücken der anderen Monate findest du hier:……
HTTP/3 – Good bye TCP, hallo QUIC – ein Ausblick
HTTP/3 – das nächste HTTP Major Release Das Hypertext Transfer Protocol (HTTP) ist eine der…
Alle WordPress-Sicherheitslücken ▶November 2020 – Plugin, Theme, Core
Alle Sicherheitslücken der anderen Monate findest du hier:……
Was ist Managed WordPress Hosting und was unterscheidet HostPress von anderen Anbietern?
Was ist Managed WordPress Hosting? …und worauf man bei der Wahl des richtigen Anbieters…