Aktuell wurde eine Sicherheitslücke bei dem WordPress Plugin bbPress von den bbPress Contributors gemeldet.
Was zu tun ist, ein paar Details zur Sicherheitslücke und allgemeine Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.
Das WordPress Plugin: bbPress by bbPress Contributors
bbPress bietet eine integrierte Forum-Lösung für WordPress an. Man kann ganz einfach die entsprechenden User verwalten und erhält ein klassisch aufgebautes Forum mit allen benötigten Funktionen.
Das Plugin zählt laut WordPress.org aktuell über 300.000 aktive Nutzer.
Veröffentlicht am 29.05.2020:
Sicherheitslücke: Authenticated und Unauthenticated Privilige Escalation
Einerseits bestand eine autenticated privilege escalation Lücke über die Funktion super moderator. Dabei kann ein Nutzer seine Rechte überschreiten und hat Zugriff auf sensible Bereiche, die sonst nur einem Admin vorbehalten sind. Noch gefährlicher ist allerdings die unauthenticated privilege escalation bei offener Registriermöglichkeit für neue User. Dadurch konnte bei offener Userregistrierung ein neuer User seine Rechte kritisch ausweiten, wodurch die betroffenen Systeme allesamt leicht angreifbar waren.
Diese Sicherheitslücken können geschlossen werden, indem das Plug-In auf die neueste Version (2.6.5) aktualisiert wird.
Quellen:
https://wpvulndb.com/vulnerabilities/10242
https://wpvulndb.com/vulnerabilities/10243
Mehr dazu (Englisch): https://bbpress.org/blog/2020/05/bbpress-2-6-5-is-out/
Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.
Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– fast 10.000 frei verfügbare Themes und über 55.000 verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.
Mehr aktuelle und beliebte Beiträge rund um WordPress & Co.:
Alle WordPress-Sicherheitslücken ▶Dezember 2020 – Plugin, Theme, Core
Alle Sicherheitslücken der anderen Monate findest du hier:……
HTTP/3 – Good bye TCP, hallo QUIC – ein Ausblick
HTTP/3 – das nächste HTTP Major Release Das Hypertext Transfer Protocol (HTTP) ist eine der…
Alle WordPress-Sicherheitslücken ▶November 2020 – Plugin, Theme, Core
Alle Sicherheitslücken der anderen Monate findest du hier:……
Was ist Managed WordPress Hosting und was unterscheidet HostPress von anderen Anbietern?
Was ist Managed WordPress Hosting? …und worauf man bei der Wahl des richtigen Anbieters…