WordPress Schwachstellenbericht – 16. März 2022

16. März 2022

Geschrieben von auf

Zuletzt aktualisiert am 16. März 2022

Anfällige Plugins und Themes sind der Hauptgrund dafür, dass WordPress-Websites gehackt werden. Der wöchentliche WordPress-Schwachstellenbericht powered by WPScan behandelt aktuelle WordPress-Plugin-, Theme- und Core-Schwachstellen und was zu tun ist, wenn du eines der anfälligen Plugins oder Themes auf deiner Website einsetzt.

Jede Sicherheitslücke wird mit einem Schweregrad von Niedrig, Medium, Hoch, oder Kritisch. Die verantwortungsvolle Offenlegung und Meldung von Sicherheitslücken ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community. Bitte teile diesen Beitrag mit deinen Freunden, um die Nachricht zu verbreiten und WordPress für alle sicherer zu machen.!

WordPress Core-Schwachstellen

WordPress 5.9.2 wurde am 11. März 2022 als Sicherheits- und Wartungsversion mit 1 Fehlerbehebung und 3 Sicherheitskorrekturen veröffentlicht. Da es sich um eine Sicherheitsversion handelt, solltest du so schnell wie möglich auf WordPress 5.9.2 aktualisieren!

WordPress Kern

Schwachstelle
Prototyp-Verschmutzung in jQuery

Gepatcht in Version
5.9.2

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 5.9.2 aktualisieren.

WordPress Kern

Schwachstelle
Contributor+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
5.9.2

Schweregrad
Hoch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 5.9.2 aktualisieren.

WordPress Kern

Schwachstelle
Prototype Pollution über Gutenbergs WordPress/url-Paket

Gepatcht in Version
5.9.2

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 5.9.2 aktualisieren.

WordPress Plugin Sicherheitslücken

In diesem Abschnitt werden die neuesten Sicherheitslücken in WordPress-Plugins aufgeführt. Zu jedem Plugin werden die Art der Sicherheitslücke, die aktiven Installationen, die Versionsnummer (falls gepatcht) und der Schweregrad angegeben.

WooCommerce

Produktbild für WooCommerce.

Plugin
WooCommerce

Installationen
5,000,000+

Schwachstelle
Als bezahlt markierte Bestellungen (über PayPal Standard Gateway)

Gepatcht in Version
6.3.1

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 6.3.1 aktualisieren.

UpdraftPlus

Produktbild für UpdraftPlus WordPress Backup Plugin.

Plugin
UpdraftPlus WordPress Backup Plugin

Installationen
3,000,000+

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
1.22.9

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.22.9 aktualisieren.

Gutenberg

Produktbild zu Gutenberg.

Plugin
Gutenberg

Installationen
300,000+

Schwachstelle
Contributor+ Stored Cross-Site Scripting; Prototype Pollution über das WordPress/url-Paket von Gutenberg

Gepatcht in Version
12.7.2

Schweregrad
Hoch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 12.7.2 aktualisieren.

Werbeeinblender

Produktbild zu Ad Inserter - Ad Manager & AdSense Ads.

Plugin
Ad Inserter - Ad Manager & AdSense-Anzeigen

Installationen
200,000+

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
2.7.12

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.7.12 aktualisieren.

MapPress Karten für WordPress

Produktbild für MapPress Maps für WordPress.

Plugin
MapPress Karten für WordPress

Installationen
60,000+

Schwachstelle
Admin+ Datei-Upload zur Remote-Code-Ausführung

Gepatcht in Version
2.73.13

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.73.13 aktualisieren.

Profile Builder

Produktbild zu Profile Builder - Benutzerprofil & Benutzerregistrierungsformulare.

Plugin
Profile Builder - Benutzerprofil & Benutzerregistrierungsformulare

Installationen
50,000+

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
3.6.8

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.6.8 aktualisieren.

Amelia < 1.0.48 -

Produktbild zu Amelia - Events & Appointments Booking Calendar.

Plugin
Amelia - Events & Termine Buchungskalender

Installationen
40,000+

Schwachstelle
Customer+ SMS Service Missbrauch und Offenlegung sensibler Daten; Customer+ Willkürliche Aktualisierung des Terminstatus

Gepatcht in Version
1.0.49

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.0.49 aktualisieren.

Easy Social Icons

Plugin
Easy Social Icons

Installationen
40,000+

Schwachstelle
Admin+ SQL Injection

Gepatcht in Version
3.1.4

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.1.4 aktualisieren.

Google Pagespeed Insights

Produktbild für Insights von Google PageSpeed.

Plugin
Einblicke von Google PageSpeed

Installationen
30,000+

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
4.0.4

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 4.0.4 aktualisieren.

WP Block and Stop Bad Bots

Produktbild zu Block Bad Bots and Stop Bad Bots Crawlers and Spiders and Anti Spam Protection.

Plugin
Block Bad Bots und Stop Bad Bots Crawler und Spiders und Anti Spam Schutz

Installationen
10,000+

Schwachstelle
Unauthentifizierte SQLi

Gepatcht in Version
6.88

Schweregrad
Hoch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 6.88 aktualisieren.

Buchungspaket

Produktbild zu Booking Package - Terminbuchungskalender System.

Plugin
Booking Package - Terminbuchungs-Kalender-System

Installationen
9,000+

Schwachstelle
Unauthentifizierte Offenlegung sensibler Daten

Gepatcht in Version
1.5.29

Schweregrad
Hoch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.5.29 aktualisieren.

Werbeeinblender

Plugin
Ad Inserter Pro

Installationen
Unbekannt

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
2.7.12

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.7.12 aktualisieren.

Mitgliederliste

Plugin
Mitgliederliste Plugin

Installationen
Unbekannt

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
4.3.7

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 4.3.7 aktualisieren.

Ninja Forms Datei-Uploads Erweiterung

Plugin
Ninja Forms File Uploads Erweiterung

Installationen
Unbekannt

Schwachstelle
Unauthentifizierter, willkürlicher Dateiupload

Gepatcht in Version
3.3.1

Schweregrad
Kritisch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.3.1 aktualisieren.

Ninja Forms Datei-Uploads Erweiterung

Plugin
Ninja Forms Datei-Uploads Erweiterung

Installationen
Unbekannt

Schwachstelle
Unauthentifiziertes Stored Cross-Site Scripting

Gepatcht in Version
3.3.13

Schweregrad
Hoch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.3.13 aktualisieren.

Beiträge markieren

Plugin
Beiträge markieren

Installationen
Unbekannt

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
2.0.1

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.0.1 aktualisieren.

WordPress-Plugin-Schwachstellen - kein bekannter Fix

Dieser Abschnitt enthält Plugin-Schwachstellen, für die keine Lösung bekannt ist. Bis ein Patch verfügbar ist, deinstalliere und lösche das Plugin sofort.

Dropdown-Menü-Widget

Plugin
Dropdown Menü Widget

Schwachstelle
Subscriber+ Arbitrary Settings Update auf Stored XSS

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Library File Manager

Plugin
Library File Manager

Schwachstelle
Subscriber+ Willkürliches Erstellen/Hochladen/Löschen von Dateien

Gepatcht in Version
Kein Fix

Schweregrad
Kritisch

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

KingComposer

Plugin
Seitenerstellung: KingComposer - Kostenloser Drag-and-Drop-Seitenersteller von King-Theme

Schwachstelle
Subscriber+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

FormBuilder

Plugin
FormBuilder

Schwachstelle
Gespeichertes Cross-Site Scripting über CSRF

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Material Design für Contact Form 7

Plugin
Material Design für Contact Form 7

Schwachstelle
Subscriber+ Arbitrary Settings Update führt zu DoS

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Weitere Updates für über 400 Plugins und Themes, die von der unsicheren Freemius-Version betroffen sind

Letzte Woche wurde entdeckt, dass viele Plugins und Themes eine unsichere Version des Freemius Frameworkdas verwendet wird, um die Upsell-Pfade von Free zu Pro zu unterstützen.

Zum Zeitpunkt dieses Berichts, sind über 400 Plugins und 25 Themes betroffen. Da die Liste so umfangreich ist, verlinken wir direkt auf die WPScan-Schwachstellenmeldung mit den neuesten Informationen zu den Patches.

Zu ergreifende Maßnahmen:

  • Aktualisiere alle deine Themes und Plugins auf die neuesten Versionen.
  • Achte darauf, dass du die automatischen Updates für deine Plugins und Themes aktivierst, da die Entwickler ständig neue Updates veröffentlichen.
  • Aktiviere die iThemes Security Site Scan Modul, um eine Benachrichtigung zu erhalten, wenn wir feststellen, dass du ein verwundbares Plugin oder Theme verwendest.
  • Einschalten Versionsverwaltung in iThemes Security, um das automatische Patchen von Sicherheitslücken zu ermöglichen.

WordPress Theme Sicherheitslücken

In diesem Abschnitt werden die neuesten Sicherheitslücken in WordPress-Themes aufgelistet. Zu jedem Theme werden die Art der Sicherheitslücke, die aktiven Installationen, die Versionsnummer (falls gepatcht) und der Schweregrad angegeben.

  • Gute Nachrichten! Diese Woche wurden keine neuen Sicherheitslücken in WordPress-Themes bekannt gegeben.

Wie du deine WordPress-Website vor anfälligen Plugins und Themes schützt

Wie du aus diesem Bericht ersehen kannst, werden jede Woche viele neue Sicherheitslücken in WordPress-Plugins und -Themes bekannt. Wir wissen, dass es schwierig sein kann, über jede gemeldete Sicherheitslücke auf dem Laufenden zu bleiben, deshalb haben wir iThemes Security Pro Plugin kannst du ganz einfach sicherstellen, dass auf deiner Website kein Theme, Plugin oder eine WordPress-Kernversion mit einer bekannten Sicherheitslücke verwendet wird.

Hol dir iThemes Security Pro mit 24/7 Website-Sicherheitsüberwachung

iThemes Security Pro, unser WordPress Sicherheits-Pluginbietet mehr als 50 Möglichkeiten, deine Website zu sichern und vor gängigen WordPress-Sicherheitslücken zu schützen. Mit WordPress, der Zwei-Faktor-Authentifizierung, dem Brute-Force-Schutz, der Erzwingung von starken Passwörtern und mehr kannst du deiner Website zusätzliche Sicherheitsebenen hinzufügen.

iThemes Security Pro kaufen

wordpress schwachstellenbericht

Quelle


Dieser Artikel ist im Original von ithemes.com und wurde übersetzt
https://ithemes.com/blog/wordpress-vulnerability-report-march-16-2022/

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung