Alle Sicherheitslücken WordPress April 2020

Alle veröffentlichten Sicherheitslücken – April 2020

Warum diese Zusammenfassung?

Mit Beiträgen wie diesem möchten wir uns daran beteiligen, die allgemeine Sicherheit der WordPress-Welt zu verbessern. Daher werden wir fortan eine monatliche Zusammenfassung aller auf wpvulndb.com veröffentlichten Sicherheitslücken erstellen, sodass sich jeder WordPress-Nutzer auf die Schnelle informieren kann.

Für alle Plugins ab 100.000+ aktiven Nutzern, veröffentlichen wir zusätzlich jeweils eigene Blogbeiträge, um unsere Follower immer auf dem neuesten Stand zu halten.

Über die Risiken:

Da es für das bedeutendste CMS der Welt –WordPress– alleine auf wordpress.org bereits über 50.000 verschiedene Plugins zur Erweiterung und Optimierung der Funktionen gibt, ergibt sich daraus gleichzeitig eine große Angriffsfläche für Hacking und Malwarekampagnen. Kritische Sicherheitslücken gefährden immer wieder die Sicherheit von Kundendaten, für welche man als Webseitenbetreiber letztlich die Verantwortung trägt. Daneben stellen betroffene Seiten häufig eine Infektionsquelle für unbedarfte Besucher dar und sogar die administrative Kontrolle über eine Seite kann kurzfristig komplett verloren gehen. Sicherheitslücken in Plugins werden immer häufiger genutzt um darauf Malware-Kampagnen, also automatisierte Angriffswellen, aufzubauen und durchzuführen.

Wenn man hingegen gewisse Sicherheitsvorkehrungen trifft, oder bei einem Managed WordPress Hoster untergebracht ist, der solche Maßnahmen standardmäßig trifft und gleichzeitig seine Plugins auf den neuesten Stand hält, darf man hingegen von einer sehr hohen Sicherheit seiner Webpräsenz ausgehen. Halten wir fest:

Insgesamt stellen die in WordPress-Plugins auftretenden Sicherheitslücken die größte Gefahr für Webseiten, deren Besucher sowie Kundendaten dar. Und diese ist gerade dann besonders groß, wenn derartige Sicherheitslücken erst einmal veröffentlicht worden sind. Denn alle WordPress-Betreiber, die auch danach kein Update vornehmen, werden zur potentiellen Zielscheibe für Angreifer. Diese bedienen sich bloß entlang der publizierten Lücken und können darauf gezielte Malware-Kampagnen aufbauen.

Neben den standardmäßigen Sicherheitsvorkehrungen bieten wir bei HostPress® speziell hierfür einen Update-Service als Dienstleistung an, unseren SecurePlan. Dabei nehmen unsere WordPress-Experten regelmäßige Sicherheitsupdates vor und prüfen deine Seite im Anschluss zusätzlich auf korrekte Funktionalität.

Sicherheitslücken von Plugins mit 100.000+ Nutzern – April 2020

Alle weiteren betroffenen Plugins – April 2020 – alphabetisch sortiert

Advanced Ads < 1.17.4 – Authenticated Reflected XSS via Admin Dashboard
All-in-One WP Migration < 7.15 – Arbitrary Backup Download
Appointment Booking Calendar < 1.3.35 – Authenticated Stored Cross-Site Scripting (XSS)
Brizy – Page Builder < 1.0.114 – Unauthenticated Site Settings Update
CM Pop-Up banners < 1.4.11 – Authenticated Stored XSS
Cookiebot < 3.6.1 – Authenticated Reflected Cross-Site Scripting (XSS)
Custom Post Type UI < 1.7.4 – CSRF to Stored XSS
Custom Searchable Data Entry System <= 1.7.1 – Unauthenticated Data Modification and Deletion (0-day, being exploited)
Data Tables Generator By Supsystic < 1.9.92 – Authenticated Stored XSS
Elementor Page Builder < 2.9.6 – Authenticated Safe Mode Privilege Escalation
Font Awesome 4.0.0-RC15 & RC16 – API Token & Access Token Disclosure
Fruitful < 3.8.2 – Authenticated Stored XSS & Theme Options Deletion
Gutenberg & Elementor Templates Importer For Responsive < 2.2.6 – Unprotected AJAX Endpoints
Import Export WordPress Users < 1.3.9 – Authenticated Arbitrary User Creation
IMPress for IDX Broker < 2.6.2 – Authenticated Stored Cross-Site Scripting (XSS) via unprotected ‚idx_update_recaptcha_key‘ AJAX
LearnPress < 3.2.6.7 – Privilege Escalation
LifterLMS < 3.37.15 – Arbitrary File Writing
MStore API < 2.1.6 – Unauthenticated Arbitrary Account Creation/Edition
Multiple plugins – Unauthenticated Dompdf Local File Inclusion (LFI)
Multiple WebToffee Plugins – Cross-Site Request Forgery (CSRF) Issue
Newsletter < 6.5.4 – CSV Injection
Popup Builder < 3.64.1 – Multiple Issues
Product Lister for Walmart <= 1.0.0 – Unauthenticated RCE via Outdated PHPUnit
RegistrationMagic – Custom Registration Forms and User Login < 4.6.0.4 – Multiple Critical Issues
Search Meter <= 2.13.2 – CSV Injection
Testimonial < 2.1.7 – Authenticated Stored Cross-Site Scripting (XSS)
WooCommerce Smart Coupons < 4.6.5 – Unauthenticated Coupon Creation
WordPress File Upload < 4.13.0 – Directory Traversal to RCE
WP Advanced Search < 3.3.4 – Unauthenticated Database Access and Remote Code Execution (RCE)
WP Security Audit Log < 4.0.2 – Broken Access Control in First-Time Install Wizard
WPForms < 1.5.9 – Authenticated Cross Site Scripting (XSS)
WPML < 4.3.7 – Authenticated Cross Site Request Forgery leading to Remote Code Execution
WPvivid Backup < 0.9.36 – Missing Authorization Leading To Database Leak
Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.