Sicherheitslücke bei WordPress-Plugin: Widget Logic

Aktuell wurde uns eine Sicherheitslücke bei dem WordPress Plugin Widget Logic gemeldet. Wir erklären euch kurz, was ihr tun könnt, wenn ihr das Plug-In für eure WordPress-Seite nutzt.

Das WordPress-Plugin: Widget Logic

Widget Logic ermöglicht auf eine komfortable Weise, die Sichbarkeit von Widgets zu steuern. Dazu fügt es bei jedem Widget ein „Widget logic“-Kontrollkästchen ein, wodurch man steuern kann, auf welcher Seite das entsprechende Widget angezeigt werden soll. Das Ganze lässt sich ebenfalls über WordPress Conditional Tags oder per allgemeinem PHP-Code steuern.

Bekannt geworden am 01.07.2019:

Sicherheitslücke: Lack of CSRF and Authorisation checks

Hier besteht die Gefahr, dass ein nicht autorisierter Bösewicht unerlaubte Änderungen an den Einstellungen vornimmt.
Wir empfehlen euch ein Plugin-Update auf Version 5.10.3 und das Problem ist behoben.

Quelle: https://wpvulndb.com/vulnerabilities/9413

Bekannt geworden am 28.06.2019:

Sicherheitslücke: Cross-Site-Request-Forgery to Remote Code Execution / CSRF to RCE

Bei einer CSRF schiebt ein Angreifer einem bereits angemeldeten Nutzer eine HTTP-Anfrage unter. Dadurch kann die angesprochene Webanwendung dazu gebracht werden, eine vom Angreifer gewünschte Aktion durchzuführen. In diesem Fall kann über custom sidebar widgets Code eingeschleust und ausgeführt werden. Das nennt man dann Remote Code Execution oder RCE, womit durchaus erhebliche Risiken verbunden sind.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version 5.10.2 aktualisiert wird.

Quelle: https://wpvulndb.com/vulnerabilities/9403

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.