Sicherheitslücke WordPress Plugin: JetPack

Alle WordPress-Sicherheitslücken im Monatsrückblick:

Sicherheitslücke bei WordPress-Plugin: WP Google Maps

Aktuell wurde uns eine Sicherheitslücke bei dem WordPress Plugin WP Google Maps gemeldet. Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

Inzwischen gibt es für das bedeutendste CMS der Welt weit über 10.000 frei verfügbare Themes sowie 55.000+ Plugins auf wordpress.org. Dadurch ergibt sich insgesamt auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese immer schnell per Update gefixt werden können.

 

Das WordPress Plugin: WP Google Maps

Das Plugin WP Google Maps bietet eine sehr einfache Implementierung von Google-Maps auf deiner WordPress-Seite. Eine gute und einfache Lösung für Kontakt-Seiten, Wegbeschreibungen oder wozu man es sonst auch verwenden könnte.

 

WP Google Maps zählt laut WordPress.org aktuell 400.000+ aktive Installationen.

 


Veröffentlicht am 07.06.2021:

Sicherheitslücke: Authenticated Stored Cross-Site Scripting (XSS)

Da die Eingabe für den Map Name im Admin Dashboard weder validiert noch bereinigt wurde, konnte ein authentifizierter Benutzer ein Stored XSS implementieren. Da die Folgen schwerwiegend sein können, raten wir dazu, die Lücke zu schließen.

 

Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die Version (8.1.12) aktualisiert wird.

Quelle: https://wpscan.com/vulnerability/1270588c-53fe-447e-b83c-1b877dc7a954

 

Im Rahmen unserer Dienstleistung SecurePlan halten wir deine Plugins, Themes und den Core durch regelmäßige Updates immer auf dem neuesten Stand.

 


 

Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.

 


Bekannt geworden am 09.07.2019:

Sicherheitslücke: Admin Settings CSRF to Stored XSS

Die Webseite ist nicht in der Lage sicherzustellen, das eine vom Benutzer gesendete Anfrage auch bewusst und absichtlich von diesem gesendet worden ist. Der Missbrauch ermöglicht dazu, dass ungewollt Daten preisgegeben werden oder auch, dass Schadcode ausgeführt wird. In diesem Fall fehlen CSRF und Authorisierungs-Prüfungen in der wpgmaps_head()-Funktion in legacy-core.php, was wiederum die Stored XSS –Gefahr eröffnet.

Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version 7.11.35 aktualisiert wird.

Quelle: https://wpvulndb.com/vulnerabilities/9442

 


Bekannt geworden am 12.06.2019:

Sicherheitslücke: Admin Settings CSRF – Cross-Site Request Forgery

Die Webseite ist nicht in der Lage sicherzustellen, das eine vom Benutzer gesendete Anfrage auch bewusst und absichtlich von diesem gesendet worden ist. Der Missbrauch ermöglicht dazu, dass ungewollt Daten preisgegeben werden oder auch, dass Schadcode ausgeführt wird.

Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version 7.11.28 aktualisiert wird.

Quelle: https://wpvulndb.com/vulnerabilities/9332

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.


 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.