Sicherheitslücke WordPress Plugin ProfilePress
MichaelVon Michael|4. August 2021

Sicherheitslücke bei WordPress-Plugin: ProfilePress

Aktuell wurde uns eine Sicherheitslücke bei dem WordPress Plugin ProfilePress gemeldet. Wir erklären euch kurz, was ihr tun könnt, wenn ihr das Plug-In für eure WordPress-Seite nutzt.

 

Das WordPress Plugin: ProfilePress

Das Plugin ProfilePress (ehemals WP User Avatar) ist ein leichtes Mitgliedschafts-Plugin, das dir die Bearbeitung von Benutzerprofilen, Mitglieder-Verzeichnissen und Frontend-Benutzer-Registrierungsformularen, Anmeldeformularen, Passwort-Resets und deinen Profilinformationen ermöglicht.

ProfilePress zählt laut WordPress.org aktuell 400.000+ aktive Installationen.

 


Veröffentlicht am 04.08.2021:

Sicherheitslücke: Unauthenticated Cross-Site Scripting (XSS)

Das Plugin-Widget für tabbed login/register wurde nicht korrekt maskiert und konnte bei einem XSS-Angriff verwendet werden, der zu wp-admin-Zugriff führen konnte. Das Plugin hat an mehreren Stellen $_POST als $_GET zugewiesen, was dazu führte, dass es in einigen Fällen mit nur $_GET Parametern repliziert werden konnte und keine $_POST Werte benötigt wurden.

 

Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die Version (3.1.11) aktualisiert wird.

Quelle: https://wpscan.com/vulnerability/f5105e3a-75c8-4312-93da-cef04d665f2a

 

Im Rahmen unserer Dienstleistung SecurePlan halten wir deine Plugins, Themes und den Core durch regelmäßige Updates immer auf dem neuesten Stand.

 


Veröffentlicht am 10.07.2021:

Mehrere Sicherheitslücken: Cross-Site Scripting (XSS) und mehr

Laut Plugin Changelog wurden mehrere Schwachstellen, einschliesslich Cross-Site Scripting (XSS), SQL Escape und Redirection Validation, behoben.

 

• Fehlende SQL-Entscaping bei der Mitgliederverzeichnis-Suche wurde behoben.
• Prüfen von  redirect_to urls, um eine Umleitung zu einer anderen Website zu verhindern.
• XSS-Fix durch Escape-Variablen im Tab Widget

 

Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die Version (3.1.11) aktualisiert wird.

Quelle: https://wpscan.com/vulnerability/f5105e3a-75c8-4312-93da-cef04d665f2a

 

Im Rahmen unserer Dienstleistung SecurePlan halten wir deine Plugins, Themes und den Core durch regelmäßige Updates immer auf dem neuesten Stand.

 


 

! Kostenloser Speedtest (CTA-Box) - 04/22 - /blog/

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.

Mit dem Absenden dieses Formulars stimmst du unseren Datenschutzbestimmungen zu.

 


 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.

Alle WordPress-Sicherheitslücken im Monatsrückblick: