Sicherheitslücken bei WordPress-Plugin: PageLayer

WordPress Sicherheitslücke bei plugin PageLayer Page Builder

Aktuell wurde eine Sicherheitslücke bei dem WordPress Page Builder Plugin PageLayer by Pagelayer Team gemeldet.
Was zu tun ist, ein paar Details zur Sicherheitslücke und allgemeine Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 

Der WordPress Page Builder PageLayer by Pagelayer Team

PageLayer ist ein aufstrebendes Page Builder Plugin, das im April 2019 an den Start ging. Zeitgemäß liegt der Fokus auf einer benutzerfreundlichen und leicht zu bedienenden Alternative zu den bestehenden Angeboten. So kann man in kurzer Zeit ohne Programmierkenntnisse coole WordPress-Seiten erstellen, wobei das Plugin laut Hersteller mit jeglichen Themes kompatibel ist. Natürlich funktioniert es per drag & drop / real time Editor und kommt mit einer Vielzahl an Widget-Optionen sowie vielen weiteren Features. Mehr findet ihr wie immer in der verlinkten Description auf wordpress.org. Wer also Interesse an neuen Page Builder-Varianten hat, sollte hier mal einen Blick reinwerfen, ein Newcomer mit Potential!

Das Plugin zählt laut WordPress.org aktuell über 200.000 aktive Nutzer.

 

Zur Bewertung des Schweregrads bzw. Risikos der veröffentlichten Sicherheitslücken

CVSS steht für Common Vulnerability Scoring System (wörtlich übersetzt: „Allgemeines Verwundbarkeitsbewertungssystem) und bezeichnet einen 2005 erstmals verwendeten und kontinuierlich weiterentwickelten Industriestandard zur Bewertung des Schweregrades von IT-Sicherheitslücken (https://de.wikipedia.org/wiki/CVSS). Zweck davon ist es, durch Einbeziehung verschiedener Aspekte bspw. von möglichen Konsequenzen und Schweregrad der Auswirkungen über die für einen Missbrauch benötigten Privilegien, einen schnell lesbaren Wert auf einer Skala von 1 bis 10 zu erzeugen, anhand dessen Verantwortliche dann wiederum kurzerhand Prioritäten setzen können.
Ausführliche Dokumentation zu einbezogenen Aspekten und Herleitung des CVSS (Englisch): https://www.first.org/cvss/calculator/3.1

 


Veröffentlicht am 29.05.2020:

Sicherheitslücke: CSFR to XSS / Cross-Site Request Forgery leading to Cross-Site-Scripting

Risikobewertung: HIGH (CVSS 8,8)

Durch diese Lücke ist es einem Angreifer zunächst möglich, einen Admin-Request zu stellen, wodurch wiederum die Plugin-Einstellungen dahingehend geändert werden können, dass bösartige Javaskript eingebracht werden kann. Daneben bestand noch eine Lücke über fast alle AJAX-Endpunkte, wodurch es im Missbrauchsfall ebenfalls zum Cross-Site-Scripting kommen kann. Letztlich können so bspw. Sessions oder Daten gestohlen oder unbedarfte Besucher der Seite geschädigt werden, weswegen wir hier wieder zum Einspielen des aktuellen Updates raten.
Diese Sicherheitslücken können geschlossen werden, indem das Plug-In auf die neueste Version (1.1.2) aktualisiert wird.
Quellen:
https://wpvulndb.com/vulnerabilities/10239
https://wpvulndb.com/vulnerabilities/10240
Mehr dazu (Englisch): https://www.wordfence.com/blog/2020/05/high-severity-vulnerabilities-in-pagelayer-plugin-affect-over-200000-wordpress-sites/

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.


 

 

Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.

 

 


 

 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– fast 10.000 frei verfügbare Themes und über 55.000 verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.