Alle Sicherheitslücken der anderen Monate findest du hier:

Alle WordPress-Sicherheitslücken – Juli 2020

Inhaltsverzeichnis:

1. Warum bin ich eigentlich hier?
2. Großangelegte Malwarekampagnen und die Gefahren
3. Sicherheitslücken (Juli) bei prominenten Plugins
4. Alle Sicherheitslücken (Juli)

Warum diese Zusammenfassung?

Mit Beiträgen wie diesem möchten wir uns daran beteiligen, die allgemeine Sicherheit der WordPress-Welt zu verbessern. Daher werden wir fortan eine monatliche Zusammenfassung aller auf wpvulndb.com veröffentlichten Sicherheitslücken erstellen, sodass sich jeder WordPress-Nutzer auf die Schnelle informieren kann. Tatsächlich werden für großangelegte Hackingkampagnen häufig alte Sicherheitslücken missbraucht… Update-Stau gehört in der WordPress-Realität leider zum Alltag.

Niemand riskiert gerne Inkompatibilitäten und nur wenige finden im Tagesgeschäft Zeit für ordnungsgemäße Pflege und Updates der Plugins. Da sich daran so einfach auch nichts ändern lässt, wäre es doch äußerst hilfreich, wenn zumindest die notwendigen Sicherheitsupdates vorgenommen würden. Diese machen im Allgemeinen übrigens bloß einen kleinen Anteil aller Updates aus.

Also:

• Zehn Minuten pro Monat diese Liste überfliegen
• betroffene Schwachstellen beheben
• langfristig auf der sicheren Seite sein! 💪🤓

Für Plugins und Themes ab 100.000+ aktiven Nutzern, veröffentlichen wir außerdem eigene aktuelle Blogbeiträge, um unsere Follower auf dem Laufenden zu halten.

Über die Risiken:

Da es für das bedeutendste CMS der Welt –WordPress– alleine auf wordpress.org bereits über 55.000 verschiedene Plugins zur Erweiterung und Optimierung der Funktionen gibt, ergibt sich daraus gleichzeitig eine große Angriffsfläche für Hacking- und Malwarekampagnen. Kritische Sicherheitslücken gefährden immer wieder die Sicherheit von Kundendaten, für welche man als Webseitenbetreiber eigentlich die Verantwortung trägt. Daneben stellen betroffene Seiten auch häufig eine Infektionsquelle für unbedarfte Besucher dar und sogar die administrative Kontrolle über eine Seite kann kurzfristig komplett verloren gehen. Sicherheitslücken in Plugins werden immer häufiger genutzt um darauf Malware-Kampagnen, also automatisierte Angriffswellen, aufzubauen und durchzuführen.

Wenn man hingegen gewisse Sicherheitsvorkehrungen trifft, oder bei einem Managed WordPress Hoster untergebracht ist, der solche Maßnahmen standardmäßig trifft und gleichzeitig seine Plugins auf den neuesten Stand hält, darf man hingegen von einer sehr hohen Sicherheit seiner Webpräsenz ausgehen. Halten wir fest:

Insgesamt stellen die in WordPress-Plugins auftretenden Sicherheitslücken die größte Gefahr für Webseiten, deren Besucher sowie Kundendaten dar. Und diese ist gerade dann besonders groß, wenn derartige Sicherheitslücken erst einmal veröffentlicht worden sind. Denn alle WordPress-Betreiber, die auch danach kein Update vornehmen, werden zur potentiellen Zielscheibe für Angreifer. Diese bedienen sich bloß entlang der publizierten Lücken und können darauf gezielte Malware-Kampagnen aufbauen. Und natürlich geht gerade von diesen infektiösen Wellen auch die größte Gefahr für den durchschnittlichen User aus – eine statistische Gegebenheit.

Neben den standardmäßigen Sicherheitsvorkehrungen bieten wir bei HostPress® speziell hierfür einen Update-Service als Dienstleistung an, unseren SecurePlan. Dabei nehmen unsere WordPress-Experten regelmäßige Sicherheitsupdates vor und prüfen deine Seite im Anschluss zusätzlich auf korrekte Funktionalität.

Übersicht für Juli 2020  — beliebte Plugins / Themes mit 100.000+ Nutzern

Alle Sicherheitslücken im Juli 2020 – alphabetisch sortiert

WordPress Plugin Sicherheitslücken

• Adning Advertising < 1.5.6 – Unauthenticated Arbitrary File Upload/Deletion
• All in One SEO Pack < 3.6.2 – Authenticated Stored Cross-Site Scripting
• Comments – wpDiscuz 7.0.0 – 7.0.4 – Unauthenticated Arbitrary File Upload
• Email Subscribers & Newsletters < 4.5.1 – Authenticated SQL injection in es_newsletters_settings_callback()
• Email Subscribers & Newsletters < 4.5.1 – Cross-site Request Forgery in send_test_email()
• Email Verification for WooCommerce < 1.8.2 – Loose Comparison to Authentication Bypass
• Form Maker by 10Web < 1.13.40 – Authenticated Reflected XSS
• Gallery PhotoBlocks < 1.2.0 – Authenticated Cross-Site Scripting (XSS)
• JobSearch < 1.5.5 – Unauthenticated Reflected Cross-Site Scripting
• JobSearch < 1.5.6 – Unauthenticated Reflected XSS
• JobSearch < 1.5.3 – Multiple Cross-Site Scripting Issues
• KingComposer < 2.9.5 – Unauthenticated Reflected Cross-Site Scripting
• Knight Lab Timeline < 3.7.0.0 – Outdated TimelineJS library could Lead to Stored XSS
• Newsletter < 6.7.7 – Authenticated Stored Cross-Site Scripting
• Payment Form For Paypal Pro < 1.1.65 – Unauthenticated SQL Injection
• Powie’s WHOIS Domain Check < 0.9.33 – Authenticated Stored Cross-Site Scripting
• Quiz And Survey Master < 7.0.0 – Authenticated Stored Cross-Site Scripting (XSS)
• Security & Malware scan by CleanTalk < 2.51 – Security Nonce Leak leading to Unauthorised AJAX call
• SendPress Newsletter < 1.20.7.13 – Authenticated Stored Cross-Site Scripting (XSS)
• Social Sharing Plugin < 1.2.10 – Cross-Site Request Forgery in Settings
• SRS Simple Hits Counter <= 1.0.4 – Unauthenticated Blind SQL Injection
• TC Custom JavaScript < 1.2.2 – Unauthenticated Stored Cross-Site Scripting (XSS)
• Testimonials Widget <= 3.5.1 – Multiple Authenticated Stored (XSS)
• Wise Chat < 2.8.4 – CSV Injection
• WooCommerce Subscriptions < 2.6.3 – Unauthenticated Stored Cross-Site Scripting (XSS)
• WP-Live Chat by 3CX < 8.2.0 – Authenticated Stored Cross-Site Scripting
• WPForms < 1.6.0.2 – Authenticated Stored Cross-Site Scripting (XSS)

WordPress Theme Sicherheitslücken

• Careerfy < 4.1.0 – Multiple Cross-Site Scripting (XSS) Issues
• Careerfy < 4.3.0 – Unauthenticated Reflected Cross-Site Scripting
• Careerfy < 4.4.0 – Unauthenticated Reflected XSS
• CareerUp < 2.3.1 – Unauthenticated Reflected Cross-Site Scripting
• CarePlus <= 1.2 – Unauthenticated Reflected Cross-Site Scripting (XSS)
• Findgo – Directory Listing < 1.3.32 – Unauthenticated Reflected and Authenticated Stored XSS
• Findus – Directory Listing < 1.1.15 – Authenticated Persistent XSS
• Golo < 1.3.3 – Unauthenticated Reflected XSS
• InJob < 3.4.1 – Authenticated Reflected Cross-Site Scripting (XSS)
• Jetapo < 1.1 – Unauthenticated Reflected Cross-Site Scripting (XSS)
• JobCareer < 3.5 – Multiple Cross-Site Scripting (XSS)
• Kormosala – Job Board < 1.0.23 – Unauthenticated Reflected XSS
• Monalisa < 2.1.3 – Unauthenticated Reflected Cross-Site Scripting (XSS)
• Prolisting – Directory Listing < 1.27 – Unauthenticated Reflected XSS
• Real Estate 7 < 3.0.4 – Unauthenticated Reflected XSS
• Reality < 2.5.6 – Multiple Reflected Cross-Site Scripting (XSS)
• Travel Booking < 2.8.4 – Unauthenticated Cross-Site Scripting (XSS)
• Travel Booking < 2.8.4 – Unauthenticated SQL Injection
• Workio – Job Board < 1.0.3 – Unauthenticated Reflected XSS
• Workup – Job Board < 2.1.6 – Unauthenticated Reflected XSS