Ultimate Member – Sicherheitslücke

hostpress-sicherheitsluecke-ultimate-member

Aktuell wurden uns drei kritische Sicherheitslücken bei einem sehr populären WordPress Plug-In gemeldet. Wir erklären euch kurz, welches Plugin betroffen ist und was ihr tun könnt, wenn ihr es auf eurer WordPress Seite nutzt.

WordPress bietet viele Möglichkeiten der Erweiterungen. Nahezu unendliche Plugins können WordPress ein immer neues Gesicht verpassen. Leider hat diese Flexibilität auch eine Kehrseite: Es gibt immer wieder Schwachstellen im Code.

Das WordPress Plugin: Ultimate Member

Das Ultimate Member Plug-In ist mit über 100.000 aktiven Installationen eines der weit verbreitetsten Plugins für WordPress. Das Plug-In erleichtert Usern das Registrieren und Einloggen auf deiner WordPress Seite.
Mithilfe des Plug-In kannst du ganz einfach User-Profile zu deiner Seite hinzufügen und fortschrittliche Online Foren aufbauen. Deinen Besuchern bietet sich ganz umkompliziert eine Plattform für Gedanken- und Meinungsaustausch.  Ultimate Member erleichtert die Verwaltung deiner User.

Doch nicht immer ist alles so leicht, wenn sich ein Fehler einschleicht…

 

Zuletzt bekannt gewordene Sicherheitslücke, 26.11.2018:

Sicherheitslücke: Ultimate Member – Cross-Site Request Forgery (CSRF)

Durch eine Sicherheitslücke im Plug-In ist es Angreifern möglich das Computersystem durch eine Transaktion in einer Webanwendung anzugreifen. Dies geschieht nicht direkt, sondern der Angreifer bedient sich dazu eines Opfers, das bei einer Webanwendung bereits angemeldet sein muss.
Dem Webbrowser des Opfers wird ohne dessen Wissen eine arglistige HTTP-Anfrage untergeschoben. Der Angreifer wählt die Anfrage so, dass bei deren Aufruf die Webanwendung die vom Angreifer gewünschte Aktion ausführt. Trifft die Webanwendung keine Maßnahmen gegen CSRF-Angriffe, ist sie verwundbar.

Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version 2.0.32 aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9152

Sicherheitslücke: Ultimate Member – Unauthenticated Arbitrary File Upload

Durch eine Sicherheitslücke im Plug-In ist es Hackern möglich die WordPress Installation mit schädlichen Dateien (Malware) zu infizieren. Die Lücke betrifft jedoch nur die Plug-In Versionen 2.0.21 oder älter.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9110

Sicherheitslücke: Authenticated Cross-Site Scripting (XSS)

Ebenfalls ist uns eine zweite Sicherheitslücke gemeldet worden, die die Plug-In Versionen 2.0.22 oder älter betrifft. Auch hier kann die Sicherheitslücke geschlossen werden, indem das Plug-In auf die neueste Version aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9111

Falls du über den HostPress SecurePlan verfügst, erhältst du Sicherheitsupdates dieser Art unmittelbar nach Bekanntgabe der Sicherheitslücke.

 

 

 

Ultimate Member – Sicherheitslücke
Diesen Beitrag bewerten