Sicherheitslücken bei WordPress-Plugin: bbPress

Aktuell wurde eine Sicherheitslücke bei dem WordPress Plugin bbPress von den bbPress Contributors gemeldet.
Was zu tun ist, ein paar Details zur Sicherheitslücke und allgemeine Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

Das WordPress Plugin: bbPress by bbPress Contributors

bbPress bietet eine integrierte Forum-Lösung für WordPress an. Man kann ganz einfach die entsprechenden User verwalten und erhält ein klassisch aufgebautes Forum mit allen benötigten Funktionen.

Das Plugin zählt laut WordPress.org aktuell über 300.000 aktive Nutzer.

Veröffentlicht am 29.05.2020:

Sicherheitslücke: Authenticated und Unauthenticated Privilige Escalation

Einerseits bestand eine autenticated privilege escalation Lücke über die Funktion super moderator. Dabei kann ein Nutzer seine Rechte überschreiten und hat Zugriff auf sensible Bereiche, die sonst nur einem Admin vorbehalten sind. Noch gefährlicher ist allerdings die unauthenticated privilege escalation bei offener Registriermöglichkeit für neue User. Dadurch konnte bei offener Userregistrierung ein neuer User seine Rechte kritisch ausweiten, wodurch die betroffenen Systeme allesamt leicht angreifbar waren.

Diese Sicherheitslücken können geschlossen werden, indem das Plug-In auf die neueste Version (2.6.5) aktualisiert wird.
Quellen:
https://wpvulndb.com/vulnerabilities/10242
https://wpvulndb.com/vulnerabilities/10243
Mehr dazu (Englisch): https://bbpress.org/blog/2020/05/bbpress-2-6-5-is-out/

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– fast 10.000 frei verfügbare Themes und über 55.000 verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.