WordPress-Schwachstellenbericht – 13. April 2022

13. April 2022

Geschrieben von auf

Zuletzt aktualisiert am 13. April 2022

Anfällige Plugins und Themes sind der # 1 Grund, warum WordPress-Websites gehackt werden. Der wöchentliche WordPress Vulnerability Report powered by WPScan behandelt aktuelle WordPress-Plugins, Themes und Kernschwachstellen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Themes auf Ihrer Website ausführen.

Jede Sicherheitsanfälligkeit hat eine Schweregradbewertung von niedrig, mittel, hoch oder kritisch. Die verantwortungsvolle Offenlegung und Meldung von Schwachstellen ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community. Bitte teilen Sie diesen Beitrag mit Ihren Freunden, um das Wort zu verbreiten und WordPress für alle sicherer zu machen!

WordPress Core Schwachstellen

WordPress 5.9.3 wurde am 5. April 2022 als kurzzyklische Wartungsversion mit 19 Fehlerbehebungen veröffentlicht. Da es sich um ein Kernupdate handelt, sollten Sie so schnell wie möglich auf WordPress 5.9.3 aktualisieren.

  • Diese Woche wurden keine neuen WordPress-Kernschwachstellen bekannt gegeben.

WordPress-Theme-Schwachstellen

In diesem Abschnitt wurden die neuesten WordPress-Plugin-Schwachstellen offengelegt. Jede Plugin-Auflistung enthält die Art der Schwachstelle, die aktiven Installationen, die Versionsnummer, falls gepatcht, und die Bewertung des Schweregrads.

All In One WP Sicherheit

Produktbild für All In One WP Security & Firewall.

Plugin (Englisch)
All In One WP Sicherheit & Firewall

Installationen
1,000,000+

Schwachstelle
Authentifizierte beliebige Weiterleitung / reflektierte XSS

In Version gepatcht
4.4.11

Schweregrad
Niedrig

Die Sicherheitsanfälligkeit wurde gepatcht, daher sollten Sie auf Version 4.4.11 aktualisieren.

SiteGround-Sicherheit

Produktbild für SiteGround Security.

Plugin (Englisch)
SiteGround-Sicherheit

Installationen
400,000+

Schwachstelle
Authentifizierungsumgehung über 2-FA-Authentifizierungseinrichtung; Autorisierungsschwachstelle zur Authentifizierungsumgehung über 2-FA-Backup-Codes

In Version gepatcht
1.2.6

Schweregrad
Kritisch

Die Sicherheitsanfälligkeit wurde gepatcht, daher sollten Sie auf Version 1.2.6 aktualisieren.

Fotogalerie

Produktbild für Fotogalerie von 10Web – Mobile-Friendly Image Gallery.

Plugin (Englisch)
Fotogalerie von 10Web – Mobile-freundliche Bildergalerie

Installationen
300,000+

Schwachstelle
Nicht authentifizierte SQL-Injektion; Reflektiertes Cross-Site-Scripting

In Version gepatcht
1.6.3

Schweregrad
Hoch

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 1.6.3 aktualisieren.

HubSpot

Produktbild für HubSpot – CRM, E-Mail-Marketing, Live-Chat, Formulare und Analysen.

Plugin (Englisch)
HubSpot – CRM, E-Mail-Marketing, Live-Chat, Formulare & Analysen

Installationen
200,000+

Schwachstelle
Mitwirkender+ Blinde SSRF

In Version gepatcht
8.8.15

Schweregrad
Mittel

Die Sicherheitsanfälligkeit wurde gepatcht, daher sollten Sie auf Version 8.8.15 aktualisieren.

Importieren und Exportieren von Benutzern und Kunden

Produktimage für Importieren und Exportieren von Benutzern und Kunden.

Plugin (Englisch)
Importieren und Exportieren von Benutzern und Kunden

Installationen
70,000+

Schwachstelle
Admin+ gespeichertes Cross-Site-Scripting

In Version gepatcht
1.19.2.1

Schweregrad
Niedrig

Die Sicherheitsanfälligkeit wurde gepatcht, daher sollten Sie auf Version 1.19.2.1 aktualisieren.

Visueller Formulargenerator

Produktbild für Visual Form Builder.

Plugin (Englisch)
Visueller Formulargenerator

Installationen
60,000+

Schwachstelle
Löschung/Wiederherstellung von Einträgen über CSRF; Admin+ gespeichertes Cross-Site-Scripting

In Version gepatcht
3.0.8

Schweregrad
Mittel

Die Sicherheitsanfälligkeit wurde behoben, daher sollten Sie auf Version 3.0.8 aktualisieren.

Adrotieren

Produktbild für AdRotate – Ad Manager & AdSense Ads.

Plugin (Englisch)
AdRotate – Anzeigenmanager & AdSense-Anzeigen

Installationen
40,000+

Schwachstelle
Admin+ XSS über Advert Name; Admin+ XSS über Gruppenname

In Version gepatcht
5.8.23

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, daher sollten Sie auf Version 5.8.23 aktualisieren.

Inhalt Ei

Produktbild für Content Egg.

Plugin (Englisch)
Inhalt Ei

Installationen
30,000+

Schwachstelle
Reflektiertes Cross-Site-Scripting

In Version gepatcht
5.3.0

Schweregrad
Mittel

Die Sicherheitsanfälligkeit wurde behoben, daher sollten Sie auf Version 5.3.0 aktualisieren.

Ungültiger Klickschutz für Anzeigen (AICP)

Produktbild für Ad Invalid Click Protector (AICP).

Plugin (Englisch)
Ungültiger Klickschutz für Anzeigen (AICP)

Installationen
20,000+

Schwachstelle
Reflektiertes Cross-Site-Scripting; Willkürliche Sperrlöschung über CSRF

In Version gepatcht
1.2.7

Schweregrad
Mittel

Die Sicherheitslücke wurde behoben, daher sollten Sie auf Version 1.2.7 aktualisieren.

Sitemap von click5

Produktbild für Sitemap von click5.

Plugin (Englisch)
Sitemap von click5

Installationen
7,000+

Schwachstelle
Aktualisierung nicht authentifizierter beliebiger Optionen

In Version gepatcht
1.0.36

Schweregrad
Kritisch

Die Sicherheitsanfälligkeit wurde gepatcht, daher sollten Sie auf Version 1.0.36 aktualisieren.

WP importieren

Produktbild für Import WP - Importieren und exportieren Sie WordPress-Daten in XML- oder CSV-Dateien.

Plugin (Englisch)
Import WP - Importieren und Exportieren von WordPress-Daten in XML- oder CSV-Dateien

Installationen
1,000+

Schwachstelle
Admin+ Hochladen beliebiger Dateien in RCE

In Version gepatcht
2.4.6

Schweregrad
Mittel

Die Sicherheitslücke wurde behoben, daher sollten Sie auf Version 2.4.6 aktualisieren.

Wbcom Designs Plugins - BuddyPress Aktivitätsfilter

Produktbild für Wbcom Designs – BuddyPress Activity Filter.

Plugin (Englisch)
Wbcom Designs – BuddyPress Aktivitätsfilter

Installationen
1,000+

Schwachstelle
Subscriber+ Arbitrary Plugin Installation, Aktivierung und Deaktivierung

In Version gepatcht
2.8.0

Schweregrad
Hoch

Die Sicherheitsanfälligkeit wurde gepatcht, daher sollten Sie auf Version 2.8.0 aktualisieren.

Mehrere Lieferadressen Woocommerce

Produktbild für Woocommerce mit mehreren Lieferadressen.

Plugin (Englisch)
Mehrere Lieferadressen Woocommerce

Installationen
900+

Schwachstelle
Nicht authentifiziertes SQLi

In Version gepatcht
2.0

Schweregrad
Hoch

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 2.0 aktualisieren.

Wbcom Designs Plugins - BuddyPress Member Reviews

Produktbild für Wbcom Designs – BuddyPress Member Reviews.

Plugin (Englisch)
Wbcom Designs – BuddyPress Mitgliederbewertungen

Installationen
800+

Schwachstelle
Subscriber+ Arbitrary Plugin Installation, Aktivierung und Deaktivierung

In Version gepatcht
2.7.0

Schweregrad
Hoch

Die Sicherheitslücke wurde behoben, daher sollten Sie auf Version 2.7.0 aktualisieren.

Wbcom entwirft Plugins – Private Community für BuddyPress

Produktbild für Wbcom Designs – Private Community für BuddyPress.

Plugin (Englisch)
WBCOM Designs – Private Community für BuddyPress

Installationen
700+

Schwachstelle
Subscriber+ Arbitrary Plugin Installation, Aktivierung und Deaktivierung

In Version gepatcht
1.7.0

Schweregrad
Hoch

Die Sicherheitsanfälligkeit wurde gepatcht, daher sollten Sie auf Version 1.7.0 aktualisieren.

SiteSuperCharger

Plugin (Englisch)
SiteSuperCharger

Installationen
300+

Schwachstelle
Nicht authentifiziertes SQLi

In Version gepatcht
5.2.0

Schweregrad
Hoch

Die Sicherheitsanfälligkeit wurde gepatcht, daher sollten Sie auf Version 5.2.0 aktualisieren.

Schneller Fluss

Produktbild für Fast Flow.

Plugin (Englisch)
Schneller Fluss

Installationen
200+

Schwachstelle
Reflektiertes Cross-Site-Scripting

In Version gepatcht
1.2.11

Schweregrad
Mittel

Die Sicherheitsanfälligkeit wurde gepatcht, daher sollten Sie auf Version 1.2.11 aktualisieren.

Wbcom Designs Plugins - BuddyPress Hashtags

Plugin (Englisch)
BuddyPress Hashtags

Schwachstelle
Subscriber+ Arbitrary Plugin Installation, Aktivierung und Deaktivierung

In Version gepatcht
2.7.0

Schweregrad
Hoch

Die Sicherheitslücke wurde behoben, daher sollten Sie auf Version 2.7.0 aktualisieren.

Wbcom Designs Plugins - BuddyPress Check-ins Pro

Plugin (Englisch)
BuddyPress Check-ins Pro

Schwachstelle
Subscriber+ Arbitrary Plugin Installation, Aktivierung und Deaktivierung

In Version gepatcht
1.4.0

Schweregrad
Hoch

Die Sicherheitsanfälligkeit wurde gepatcht, daher sollten Sie auf Version 1.4.0 aktualisieren.

Wbcom Designs Plugins - BuddyPress Sticky Post

Plugin (Englisch)
BuddyPress Sticky Post

Schwachstelle
Subscriber+ Arbitrary Plugin Installation, Aktivierung und Deaktivierung

In Version gepatcht
1.9.9

Schweregrad
Hoch

Die Sicherheitsanfälligkeit wurde gepatcht, daher sollten Sie auf Version 1.9.9 aktualisieren.

WordPress-Plugin-Schwachstellen - Keine bekannte Lösung

Dieser Abschnitt enthält Plugin-Schwachstellen ohne bekannte Lösung. Bis ein Patch verfügbar ist, deinstallieren und löschen Sie das Plugin sofort.

Wbcom Designs Plugins - BuddyPress Anzeigen

Produktbild für Wbcom Designs – BuddyPress Ads.

Plugin (Englisch)
Wbcom Designs - BuddyPress Anzeigen

Installationen
80+

Schwachstelle
Subscriber+ Arbitrary Plugin Installation, Aktivierung und Deaktivierung

In Version gepatcht
Keine Lösung

Schweregrad
Hoch

Die Schwachstelle wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Erweiterter Seitenbesuchszähler

Plugin (Englisch)
Erweiterter Seitenbesuchszähler - Fortschrittlichstes WordPress-Besuchszähler-Plugin

Schwachstelle
Nicht authentifiziertes gespeichertes Cross-Site-Scripting

In Version gepatcht
Keine Lösung

Schweregrad
Hoch

Die Schwachstelle wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Dokumentor

Plugin (Englisch)
Documentor – Produktdokumentation erstellen

Schwachstelle
Nicht authentifiziertes SQLi

In Version gepatcht
Keine Lösung

Schweregrad
Hoch

Die Schwachstelle wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Ereignisliste

Plugin (Englisch)
Ereignisliste

Schwachstelle
Admin+ gespeichertes Cross-Site-Scripting

In Version gepatcht
Keine Lösung

Schweregrad
Niedrig

Die Schwachstelle wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Tipsacarrier

Plugin (Englisch)

Schwachstelle
Nicht authentifiziertes SQLi; Offenlegung nicht authentifizierter Aufträge

In Version gepatcht
Keine Lösung

Schweregrad
Hoch

Die Schwachstelle wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Wbcom entwirft Plugins – BuddyPress Activity Social Share

Plugin (Englisch)
Wbcom Designs - BuddyPress Aktivität Social Share

Schwachstelle
Subscriber+ Arbitrary Plugin Installation, Aktivierung und Deaktivierung

In Version gepatcht
Keine Lösung

Schweregrad
Hoch

Die Schwachstelle wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Wbcom Designs Plugins - BuddyPress erstellt Gruppentyp

Plugin (Englisch)
Wbcom-Designs - BuddyPress erstellt Gruppentyp

Schwachstelle
Subscriber+ Arbitrary Plugin Installation, Aktivierung und Deaktivierung

In Version gepatcht
Keine Lösung

Schweregrad
Hoch

Die Schwachstelle wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Wbcom Designs Plugins – BuddyPress Group Bewertungen

Plugin (Englisch)
Wbcom Designs – BuddyPress Group Bewertungen

Schwachstelle
Subscriber+ Arbitrary Plugin Installation, Aktivierung und Deaktivierung

In Version gepatcht
Keine Lösung

Schweregrad
Hoch

Die Schwachstelle wurde nicht gepatcht. Sie sollten den Plugi deaktivierenn.

Wbcom Designs Plugins – BuddyPress Job Manager

Plugin (Englisch)
Wbcom Designs – BuddyPress Job Manager

Schwachstelle
Subscriber+ Arbitrary Plugin Installation, Aktivierung und Deaktivierung

In Version gepatcht
Keine Lösung

Schweregrad
Hoch

Die Schwachstelle wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Wbcom Designs Plugins – BuddyPress Suche

Plugin (Englisch)
wbcom Designs – BuddyPress Suche

Schwachstelle
Subscriber+ Arbitrary Plugin Installation, Aktivierung und Deaktivierung

In Version gepatcht
Keine Lösung

Schweregrad
Hoch

Die Schwachstelle wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Wbcom Designs Plugins - BuddyPress Todo Liste

Plugin (Englisch)
Wbcom entwirft BuddyPress Todo Liste

Schwachstelle
Subscriber+ Arbitrary Plugin Installation, Aktivierung und Deaktivierung

In Version gepatcht
Keine Lösung

Schweregrad
Hoch

Die Schwachstelle wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Wbcom Designs Plugins – Check-ins für BuddyPress-Aktivitäten

Plugin (Englisch)
Wbcom Designs – Check-ins für BuddyPress-Aktivitäten

Schwachstelle
Subscriber+ Arbitrary Plugin Installation, Aktivierung und Deaktivierung

In Version gepatcht
Keine Lösung

Schweregrad
Hoch

Die Schwachstelle wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Wbcom Designs Plugins - Benutzerdefinierte E-Mail-Optionen

Plugin (Englisch)
Benutzerdefinierte E-Mail-Optionen

Schwachstelle
Subscriber+ Arbitrary Plugin Installation, Aktivierung und Deaktivierung

In Version gepatcht
Keine Lösung

Schweregrad
Hoch

Die Schwachstelle wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Wbcom Designs Plugins - Benutzerdefinierte Schriftart Uploader

Plugin (Englisch)
Hochladen benutzerdefinierter Schriftarten

Schwachstelle
Subscriber+ Arbitrary Plugin Installation, Aktivierung und Deaktivierung

In Version gepatcht
Keine Lösung

Schweregrad
Hoch

Die Schwachstelle wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Wbcom Designs Plugins - Woo Audio Vorschau

Plugin (Englisch)
Woo Audio-Vorschau

Schwachstelle
Subscriber+ Arbitrary Plugin Installation, Aktivierung und Deaktivierung

In Version gepatcht
Keine Lösung

Schweregrad
Hoch

Die Schwachstelle wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Wbcom Designs Plugins - Woo Dokumentvorschau

Plugin (Englisch)
Woo Dokumentvorschau

Schwachstelle
Subscriber+ Arbitrary Plugin Installation, Aktivierung und Deaktivierung

In Version gepatcht
Keine Lösung

Schweregrad
Hoch

Die Schwachstelle wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Wbcom Designs Plugins - WordPress Systemprotokoll

Plugin (Englisch)
WordPress-Systemprotokoll

Schwachstelle
Subscriber+ Arbitrary Plugin Installation, Aktivierung und Deaktivierung

In Version gepatcht
Keine Lösung

Schweregrad
Hoch

Die Schwachstelle wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

WordPress-Theme-Schwachstellen

In diesem Abschnitt wurden die neuesten WordPress-Theme-Schwachstellen offengelegt. Jede Theme-Auflistung enthält die Art der Schwachstelle, die aktiven Installationen, die Versionsnummer, falls gepatcht, und die Bewertung des Schweregrads.

  • Diese Woche wurden keine neuen WordPress-Kernschwachstellen bekannt gegeben.

Machen Sie sich nie wieder Sorgen darüber, ein anfälliges Plugin oder Theme auszuführen.

Wie Sie in diesem Bericht sehen können, werden jede Woche viele neue WordPress-Plugin- und Theme-Schwachstellen veröffentlicht. Wir wissen, dass es schwierig sein kann, bei jeder gemeldeten Offenlegung von Schwachstellen den Überblick zu behalten. iThemes Security Pro Mit dem Plugin können Sie ganz einfach sicherstellen, dass auf Ihrer Website kein Theme, Plugin oder WordPress-Core-Version mit einer bekannten Schwachstelle ausgeführt wird.

Quelle


Dieser Artikel ist im Original von ithemes.com und wurde übersetzt
https://ithemes.com/blog/wordpress-vulnerability-report-april-13-2022/

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung