Alle veröffentlichten Sicherheitslücken – August 2020
Inhaltsverzeichnis:
- Warum bin ich eigentlich hier? Updaten ist wie Impfen.
- Übersicht: Sicherheitslücken bei beliebten Plugins
- Alle Sicherheitslücken im August – alphabetische Liste
Warum diese Zusammenfassung?
Mit Beiträgen wie diesem möchten wir uns daran beteiligen, die allgemeine Sicherheit der WordPress-Welt zu verbessern. Daher werden wir fortan eine monatliche Zusammenfassung aller auf wpvulndb.com veröffentlichten Sicherheitslücken erstellen, sodass sich jeder WordPress-Nutzer auf die Schnelle informieren kann. Tatsächlich werden für großangelegte Hackingkampagnen häufig alte Sicherheitslücken missbraucht… Update-Stau gehört in der WordPress-Realität leider zum Alltag.
Niemand riskiert gerne Inkompatibilitäten und nur wenige finden im Tagesgeschäft Zeit für ordnungsgemäße Pflege und Updates der Plugins. Da sich daran so einfach auch nichts ändern lässt, wäre es doch äußerst hilfreich, wenn zumindest die notwendigen Sicherheitsupdates vorgenommen würden. Diese machen im Allgemeinen übrigens bloß einen kleinen Anteil aller Updates aus.
Also:
- Zehn Minuten pro Monat diese Liste überfliegen
- betroffene Schwachstellen beheben
- langfristig auf der sicheren Seite sein! 💪🤓
Für Plugins und Themes ab 100.000+ aktiven Nutzern, veröffentlichen wir außerdem eigene aktuelle Blogbeiträge, um unsere Follower auf dem Laufenden zu halten.
Über die Risiken:
Da es für das bedeutendste CMS der Welt –WordPress– alleine auf wordpress.org bereits über 55.000 verschiedene Plugins zur Erweiterung und Optimierung der Funktionen gibt, ergibt sich daraus gleichzeitig eine große Angriffsfläche für Hacking- und Malwarekampagnen. Kritische Sicherheitslücken gefährden immer wieder die Sicherheit von Kundendaten, für welche man als Webseitenbetreiber eigentlich die Verantwortung trägt. Daneben stellen betroffene Seiten auch häufig eine Infektionsquelle für unbedarfte Besucher dar und sogar die administrative Kontrolle über eine Seite kann kurzfristig komplett verloren gehen. Sicherheitslücken in Plugins werden immer häufiger genutzt um darauf Malware-Kampagnen, also automatisierte Angriffswellen, aufzubauen und durchzuführen.
Wenn man hingegen gewisse Sicherheitsvorkehrungen trifft, oder bei einem Managed WordPress Hoster untergebracht ist, der solche Maßnahmen standardmäßig trifft und gleichzeitig seine Plugins auf den neuesten Stand hält, darf man hingegen von einer sehr hohen Sicherheit seiner Webpräsenz ausgehen. Halten wir fest:
Insgesamt stellen die in WordPress-Plugins auftretenden Sicherheitslücken die größte Gefahr für Webseiten, deren Besucher sowie Kundendaten dar. Und diese ist gerade dann besonders groß, wenn derartige Sicherheitslücken erst einmal veröffentlicht worden sind. Denn alle WordPress-Betreiber, die auch danach kein Update vornehmen, werden zur potentiellen Zielscheibe für Angreifer. Diese bedienen sich bloß entlang der publizierten Lücken und können darauf gezielte Malware-Kampagnen aufbauen. Und natürlich geht gerade von diesen infektiösen Wellen auch die größte Gefahr für den durchschnittlichen User aus – eine statistische Gegebenheit.
Neben den standardmäßigen Sicherheitsvorkehrungen bieten wir bei HostPress® speziell hierfür einen Update-Service als Dienstleistung an, unseren SecurePlan. Dabei nehmen unsere WordPress-Experten regelmäßige Sicherheitsupdates vor und prüfen deine Seite im Anschluss zusätzlich auf korrekte Funktionalität.
Sicherheitslücken bei beliebten Plugins / Themes — August 2020
Alle Sicherheitslücken im August 2020 – alphabetisch sortiert
WordPress Plugins (39 betroffen)
- Admin Menu <= 1.1 – Authenticated Cross-Site Scripting (XSS)
- Advanced Access Manager < 6.6.2 – Authenticated Authorization Bypass and Privilege Escalation
- Autoptimize < 2.7.7 – Authenticated Arbitrary File Upload
- Bulk Change <= 1.0 – Authenticated Reflected Cross-Site Scripting
- Cardoza WordPress Poll <= 36 – Authenticated SQL Injection
- Ceceppa Multilingua <= 1.5.17 – Authenticated Reflected Cross-Site Scripting
- Change WordPress Login Logo <= 1.1.4 – Authenticated Stored Cross-Site Scripting
- Click to Top <= 1.2.7 – Authenticated Stored Cross-Site Scripting
- CMP – Coming Soon & Maintenance < 3.8.2 – Improper Access Controls on AJAX Calls
- Colorbox Lightbox <= 1.1.2 – Authenticated Stored Cross-Site Scripting
- Contact Form – Form builder by Kali Forms < 2.1.2 – Multiple CSRF Bypass Issues
- Discount Rules for WooCommerce < 2.1.0 – Multiple Vulnerabilities
- Easy Media Download < 1.1.5 – Authenticated Stored Cross-Site Scripting
- Elegant Testimonial <= 1.1.6 – Multiple Authenticated Stored Cross-Site Scripting
- Elegant Themes (Divi 3.0 – 4.5.2, Extra 2.0 – 4.5.2, Divi Builder 2.0 – 4.5.2) – Authenticated Arbitrary File Upload
- Fancy Lightbox < 1.0.2 – Authenticated Stored Cross-Site Scripting
- File Manager < 6.5 – Backup File Directory Listing
- FooGallery < 1.9.25 – Authenticated Cross-Site Scripting (XSS)
- Internal Links Manager <= 2.0.2 – Multiple Authenticated Stored Cross-Site Scripting
- Newsletter < 6.8.2 – Authenticated Cross-Site Scripting (XSS)
- NextGEN Gallery Sell Photo <= 1.0.4 – Authenticated Stored Cross-Site Scripting
- Product Input Fields for WooCommerce < 1.2.7 – Unauthenticated File Download
- Quiz and Survey Master < 7.0.2 – Unauthenticated Arbitrary File Upload
- Recall Products <= 0.8 – Authenticated Cross-Site Scripting
- Responsive Lightbox2 < 1.0.3 – Authenticated Stored Cross-Site Scripting
- RSS Feed Widget < 2.8.1 – Authenticated Cross-Site Scripting (XSS)
- RSVPMaker < 7.8.2 – Unauthenticated SQL Injection
- Sell Media < 2.4.2 – Unauthenticated Reflected Cross-Site Scripting (XSS)
- Sell Photo <= 1.0.5 – Authenticated Stored Cross-Site Scripting
- Subscribe Sidebar <= 1.3.1 – Authenticated Reflected Cross-Site Scripting
- The Official WordPress Facebook Chat Plugin < 1.6 – Authenticated Options Change to Chat Takeover
- Ultimate Appointment Booking & Scheduling < 1.1.10 – Authenticated Cross-Site Scripting (XSS)
- Ultimate Member < 2.1.7 – Unauthenticated Open Redirect
- Very Simple Quiz – Multiple Authenticated Stored Cross-Site Scripting (XSS)
- WooCommerce – NAB Transact < 2.1.2 – Payment Bypass
- WP Customer Reviews < 3.4.3 – Multiple Unauthenticated and Low Priv Authenticated Stored XSS
- WP Floating Menu < 1.4.1 – Authenticated Reflected Cross-Site Scripting
- WP Smart CRM & Invoices FREE <= 1.8.7 – Authenticated Stored Cross-Site Scripting
WordPress Themes
- Elegant Themes (Divi 3.0 – 4.5.2, Extra 2.0 – 4.5.2, Divi Builder 2.0 – 4.5.2) – Authenticated Arbitrary File Upload
- FoodBakery < 2.0 – Unauthenticated Reflected XSS
- Home Villas <= 2.2 – Multiple Cross-Site Scripting Issues
- Geo Magazine <= 2.0 – Unauthenticated Reflected XSS
- Konzept < 2.5 – Unauthenticated Reflected XSS
- Nova Lite < 1.3.9 – Unauthenticated Reflected Cross-Site Scripting (XSS)
Mehr beliebte Beiträge zu WordPress:
Better Search Replace – im Plugin Spotlight
WordPress Plugin-Spotlight: Better Search Replace Inhaltsverzeichnis: Better Search Replace -…
WP-Cron deaktivieren für mehr Performance – 1-Klick-Lösung und Tutorial
WordPress Cronjobs (per wp-cron.php) sind eine integrierte Funktion, mit der sich zeitgesteuerte…
WordPress 5.5 – Nützliche Erweiterungen und mehr Performance
Update September 2020 – Freie Fahrt für WordPress 5.5! Nachdem…