WordPress Schwachstellenbericht – 18. Mai 2022

18. Mai 2022

Schwachstellen in Plugins und Themes sind der Hauptgrund dafür, dass WordPress-Websites gehackt werden. Der wöchentliche WordPress Schwachstellenbericht powered by WPScan behandelt aktuelle WordPress-Plugin-, Theme- und Core-Schwachstellen und was zu tun ist, wenn du eines der anfälligen Plugins oder Themes auf deiner Website einsetzt.

Jede Sicherheitslücke wird mit einem Schweregrad von niedrig, mittel, hoch oder kritisch eingestuft. Die verantwortungsvolle Offenlegung und Meldung von Sicherheitslücken ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community. Bitte teile diesen Beitrag mit deinen Freunden, um die Nachricht zu verbreiten und WordPress für alle sicherer zu machen.!

Erhalte den wöchentlichen WordPress-Schwachstellenbericht jeden Mittwoch in deinen Posteingang.

WordPress Core Sicherheitslücken

WordPress 5.9.3 wurde am 5. April 2022 als kurzzyklische Wartungsversion mit 19 Fehlerbehebungen veröffentlicht. Da es sich um ein Core-Update handelt, solltest du so schnell wie möglich auf WordPress 5.9.3 aktualisieren.

  • Diese Woche wurden keine neuen Sicherheitslücken in WordPress bekannt.

WordPress Plugin Sicherheitslücken

In diesem Abschnitt werden die neuesten Sicherheitslücken in WordPress-Plugins aufgeführt. Zu jedem Plugin werden die Art der Schwachstelle, die aktiven Installationen, die Versionsnummer (falls gepatcht) und der Schweregrad angegeben.

WP-Statistik

Produktbild zu WP Statistics.

Installationen
600,000+

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
13.2.2

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 13.2.2 aktualisieren.

Fotogalerie

Produktbild zu Photo Gallery von 10Web - Mobile-Friendly Image Gallery.

Installationen
300,000+

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
1.6.4

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.6.4 aktualisieren.

FiboSearch

Produktbild zu FiboSearch - Ajax Search for WooCommerce.

Installationen
100,000+

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
1.18.0

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.18.0 aktualisieren.

Datenbank-Backup für WordPress

Produktbild für Database Backup for WordPress.

Installationen
100,000+

Schwachstelle
Willkürliche Aktualisierung der Zeitplaneinstellungen über CSRF

Gepatcht in Version
2.5.2

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.5.2 aktualisieren.

Wirft SPAM weg

Produktbild zu Throws SPAM Away.

Installationen
20,000+

Schwachstelle
Kommentar-Löschung über CSRF

Gepatcht in Version
3.3.1

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.3.1 aktualisieren.

WP Simple Adsense Insertion

Produktbild zu WP Simple Adsense Insertion.

Installationen
9,000+

Schwachstelle
Einschleusen von Werbung und Javascript über CSRF

Gepatcht in Version
2.1

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.1 aktualisieren.

Video Slider - Schieberegler Karussell

Produktbild zu Video Slider - Slider Carousel.

Installationen
7,000+

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
1.4.8

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.4.8 aktualisieren.

FormCraft Basic

Produktbild für FormCraft - Contact Form Builder für WordPress.

Installationen
5,000+

Schwachstelle
Admin+ Gespeichertes Cross Site Scripting

Gepatcht in Version
1.2.6

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.2.6 aktualisieren.

Benutzer-Meta

Produktbild zu User Meta - User Profile Builder und User Management Plugin.

Installationen
3,000+

Schwachstelle
Subscriber+ Local File Enumeration über Path Traversal

Gepatcht in Version
2.4.4

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.4.4 aktualisieren.

WPify Woo Czech

Installationen
3,000+

Schwachstelle
Reflektiertes Cross-Site Scripting (XSS)

Gepatcht in Version
3.5.7

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.5.7 aktualisieren.

WordPress-Formulare von Pie Forms

Produktbild für Drag & Drop Builder, Human Face Detector, vorgefertigte Vorlagen, Spamschutz, Benutzer-E-Mail-Benachrichtigungen & mehr!

Installationen
100+

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
1.4.9.4

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.4.9.4 aktualisieren.

Verzögerung beim Herunterladen von Dateien

Installationen
10+

Schwachstelle
Subscriber+ Einstellungen zurücksetzen

In Version gepatcht
1.0.7

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.0.7 aktualisieren.

WooCommerce Green Wallet Gateway

Produktbild zu WooCommerce Green Wallet Gateway.

Schwachstelle
Reflektiertes Cross Site Scripting auf der Checkout-Seite

Gepatcht in Version
1.0.2

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.0.2 aktualisieren.

WPQA

Plugin
WPQA Builder

Schwachstelle
Unauthentifizierte Offenlegung privater Nachrichten; Reflected Cross-Site Scripting

Gepatcht in Version
5.5

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 5.5 aktualisieren.

WordPress-Plugin-Schwachstellen - kein bekannter Fix

Dieser Abschnitt enthält Plugin-Schwachstellen, für die keine Lösung bekannt ist. Bis ein Patch verfügbar ist, deinstalliere und lösche das Plugin sofort.

Spenden

Schwachstelle
Contributor+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

Zitate Lama

Verwundbarkeit
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Niedrig

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

Einfache FAQ mit expandierendem Text

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Niedrig

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

WP Fundraising Spenden- und Crowdfunding-Plattform

Schwachstelle
Unauthentifizierte SQLi

Gepatcht in Version
Kein Fix

Schweregrad
Hoch

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

LiveSync für WordPress

Schwachstelle
Willkürliches Update der Einstellungen über CSRF

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

WP Born Babies

Schwachstelle
Contributor+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

Fünf Minuten Webshop

Schwachstelle
Admin+ SQLi über orderby

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

WordPress Theme Sicherheitslücken

In diesem Abschnitt werden die neuesten Sicherheitslücken in WordPress-Themes aufgelistet. Zu jedem Theme werden die Art der Sicherheitslücke, die aktiven Installationen, die Versionsnummer (falls gepatcht) und der Schweregrad angegeben.

Discy

Thema
Discy

Schwachstelle
Wiederherstellung der Standardeinstellungen über CSRF; Aktualisierung der Einstellungen über CSRF

Gepatcht in Version
5.2

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 5.2 aktualisieren.

Frag mich

Thema
Frag mich

Schwachstelle
Mehrere CSRF in AJAX-Aktionen; Reflected Cross-Site Scripting

Gepatcht in Version
6.8.2

Schweregrad
Hoch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 6.8.2 aktualisieren.

Mach dir nie wieder Sorgen, dass du ein verwundbares Plugin oder Theme benutzt.

Wie du aus diesem Bericht ersehen kannst, werden jede Woche viele neue Sicherheitslücken in WordPress-Plugins und -Themes bekannt. Wir wissen, dass es schwierig sein kann, bei jeder gemeldeten Sicherheitslücke den Überblick zu behalten. Deshalb kannst du mit dem iThemes Security Pro Plugin ganz einfach sicherstellen, dass auf deiner Website kein Theme, Plugin oder eine WordPress-Kernversion mit einer bekannten Sicherheitslücke verwendet wird.

Scannt deine Website zweimal am Tag auf Sicherheitslücken

Die Plugins, Themes und WordPress-Kernversionen deiner Website werden mit der WPScan-Schwachstellen-Datenbank auf die neuesten Sicherheitslücken überprüft.

Automatische Updates, wenn ein Sicherheitsfix verfügbar ist

In Verbindung mit der Versionsverwaltung aktualisiert iThemes Security automatisch ein Plugin, ein Theme oder eine WordPress-Kernversion, wenn es eine Sicherheitslücke gibt.

Benachrichtigt dich per E-Mail, wenn der Site Scan eine Sicherheitslücke entdeckt

Du kannst einen E-Mail-Bericht erhalten, wenn auf deiner Website gefährdete Versionen eines Plugins, Themes oder WordPress-Kerns installiert sind. Lege die E-Mail-Adressen fest, die die Scan-Ergebnisse erhalten sollen.

Das beste WordPress-Sicherheits-Plugin zum Sichern & Schützen von WordPress-Seiten

Mehr als 40 % aller Websites werden mit WordPress betrieben. Das macht es zu einem leichten Ziel für Hacker mit bösartigen Absichten. Das iThemes Security Pro Plugin macht es dir leicht, deine WordPress-Website zu sichern und zu schützen. Es ist so, als hättest du einen Sicherheitsexperten, der deine WordPress-Website ständig für dich überwacht und schützt.

Quelle


Dieser Artikel ist im Original von ithemes.com und wurde übersetzt
https://ithemes.com/blog/wordpress-vulnerability-report-may-18-2022/

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung