WordPress Schwachstellenbericht – 23. Februar 2022

5. März 2022

Geschrieben von auf

Zuletzt aktualisiert am 23. Februar 2022

Anfällige Plugins und Themes sind der Hauptgrund dafür, dass WordPress-Websites gehackt werden. Der wöchentliche WordPress-Schwachstellenbericht powered by WPScan behandelt aktuelle WordPress-Plugin-, Theme- und Core-Schwachstellen und was zu tun ist, wenn du eines der anfälligen Plugins oder Themes auf deiner Website einsetzt.

Jede Sicherheitslücke wird mit einem Schweregrad von Niedrig, Medium, Hoch, oder Kritisch. Die verantwortungsvolle Offenlegung und Meldung von Sicherheitslücken ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community. Neu in diesem Bericht: Die Sicherheitslücken sind jetzt nach der Anzahl der aktiven Installationen geordnet und nicht mehr nach dem Datum der Veröffentlichung.

Bitte teile diesen Beitrag mit deinen Freunden, um die Nachricht zu verbreiten und WordPress für alle sicherer zu machen.!

Die WordPress-Katastrophenwoche kommt

8. bis 10. März 2022

EINE KOSTENLOSE ONLINE-SCHULUNGSVERANSTALTUNG

Bist du bereit, wenn deine WordPress-Website heute von einer Katastrophe heimgesucht wird? Von einem Update, das alles kaputt macht, bis hin zu Hacks oder dem versehentlichen Löschen einer wichtigen Datei - es ist nicht die Frage, ob, sondern wann etwas mit deiner Website schiefgeht. Um dir dabei zu helfen, die Bedrohung durch Website-Katastrophen zu bekämpfen, veranstalten wir das größte kostenlose Online-WordPress-Sicherheitstraining des Jahres, damit JEDER einen Plan hat, falls eine Website-Katastrophe eintritt.

WordPress Core Vulnerabilities

WordPress 5.9.1 wurde am 22. Februar 2022 als Wartungsupdate mit 33 Fehlerbehebungen veröffentlicht. Stelle sicher, dass du so schnell wie möglich auf WordPress 5.9.1 aktualisierst!

  • Diese Woche wurden keine neuen Sicherheitslücken im WordPress-Kernbereich bekannt gegeben.

WordPress Plugin Sicherheitslücken

In diesem Abschnitt werden die neuesten Sicherheitslücken in WordPress-Plugins aufgeführt. Zu jedem Plugin werden die Art der Schwachstelle, die aktiven Installationen, die Versionsnummer (falls gepatcht) und der Schweregrad angegeben.

UpdraftPlus Kostenlos

Produktbild für UpdraftPlus WordPress Backup Plugin.

Plugin
UpdraftPlus WordPress Backup Plugin

Installationen
3,000,000+

Schwachstelle
FALSCHE AUTORISIERUNG

Gepatcht in Version
1.22.3

Schweregrad
Hoch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.22.3 aktualisieren.

Wesentliche Addons für Elementor Lite

Produktbild für Essential Addons für Elementor.

Plugin
Wesentliche Addons für Elementor

Installationen
1,000,000+

Schwachstelle
XSS

Gepatcht in Version
5.0.9

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 5.0.9 aktualisieren.

WP Statistik

Produktbild zu WP Statistics.

Plugin
WP Statistik

Installationen
600,000+

Schwachstelle
Unauthenticated Blind SQL Injection via IP; Unauthenticated Blind SQL Injection via current_page_id; Unauthenticated Blind SQL Injection via current_page_type; Mehrere unauthenticated Stored Cross-Site Scripting

Gepatcht in Version
13.1.6

Schweregrad
Kritisch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 13.1.6 aktualisieren.

Fotogalerie von 10Web

Produktbild zu Photo Gallery by 10Web - Mobile-Friendly Image Gallery.

Plugin
Photo Gallery by 10Web - Mobilfreundliche Bildergalerie

Installationen
300,000+

Schwachstelle
Unauthentifizierte SQL Injection

Gepatcht in Version
1.6.0

Schweregrad
Hoch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.6.0 aktualisieren.

Relevanssi

Produktbild zu Relevanssi - Eine bessere Suche.

Plugin
Relevanssi - Eine bessere Suche

Installationen
100,000+

Schwachstelle
Unerlaubte AJAX-Aufrufe

Gepatcht in Version
4.14.6

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 4.14.6 aktualisieren.

WP Content Copy Protection & Kein Rechtsklick

Produktbild zu WP Content Copy Protection & No Right Click.

Plugin
WP Content Copy Protection & Kein Rechtsklick

Installationen
100,000+

Schwachstelle
Einstellungen Update über CSRF

Gepatcht in Version
3.4.5

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.4.5 aktualisieren.

Cookie-Informationen

Produktbild zu Cookie Information | Free GDPR Consent Solution.

Plugin
Cookie Information | Kostenlose GDPR-Zustimmungslösung

Installationen
100,000+

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
2.0.8

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.0.8 aktualisieren.

Profile Builder

Produktbild zu Profile Builder - Benutzerprofil & Benutzerregistrierungsformulare.

Plugin
Profile Builder - Benutzerprofil & Benutzerregistrierungsformulare

Installationen
60,000+

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
3.6.2

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.6.2 aktualisieren.

Kontakt-Formular-Eingaben

Produktbild für Contact Form Submissions.

Plugin
Kontakt-Formular-Eingaben

Installationen
50,000+

Schwachstelle
Unauthentifizierter Stored XSS

Gepatcht in Version
1.7.3

Schweregrad
Hoch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.7.3 aktualisieren.

Null Spam

Produktbild für Zero Spam für WordPress.

Plugin
Zero Spam für WordPress

Installationen
30,000+

Schwachstelle
Admin+ SQL Injection

Gepatcht in Version
5.2.11

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 5.2.11 aktualisieren.

Master Addons für Elementor

Produktbild für Master Addons für Elementor.

Plugin
Master Addons für Elementor

Installationen
30,000+

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
1.8.2

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.8.2 aktualisieren.

Admin-Leiste auf Basis von Benutzerrollen ausblenden

Produktbild zu Hide Admin Bar Based on User Roles (Adminleiste nach Benutzerrollen ausblenden).

Plugin
Admin Bar basierend auf Benutzerrollen ausblenden

Installationen
20,000+

Schwachstelle
Update der Einstellungen über CSRF; Update der Abonnenten+-Einstellungen

Gepatcht in Version
3.1.0

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.1.0 aktualisieren.

Erweiterte Produktetiketten für WooCommerce

Produktbild für Advanced Product Labels für WooCommerce.

Plugin
Erweiterte Produktetiketten für WooCommerce

Installationen
20,000+

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
1.2.3.7

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.2.3.7 aktualisieren.

Powerkit

Produktbild zu Powerkit - Supercharge your WordPress Site.

Plugin
Powerkit - Überlade deine WordPress Seite

Installationen
10,000+

Schwachstelle
Update/Rücksetzen der Einstellungen von Beitragsansichten über CSRF

Gepatcht in Version
2.5.9

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.5.9 aktualisieren.

Countdown & Uhr

Plugin
Countdown, Coming Soon, Wartung - Countdown & Uhr

Installationen
10,000+

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
2.2.9

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.2.9 aktualisieren.

WPCargo

Produktbild zu WPCargo Track & Trace.

Plugin
WPCargo Track & Trace

Installationen
10,000+

Schwachstelle
Unauthentifizierter RCE

Gepatcht in Version
6.9.0

Schweregrad
Kritisch

Die Schwachstelle wurde gepatcht, du solltest also auf Version 6.9.0 aktualisieren.

ARI Fancy Lightbox

Produktbild zu ARI Fancy Lightbox - WordPress Popup.

Plugin
ARI Fancy Lightbox - WordPress Popup

Installationen
10,000+

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
1.3.9

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.3.9 aktualisieren.

Event Manager für WooCommerce

Produktbild für Event Manager und Ticketverkaufs-Plugin für WooCommerce.

Plugin
Event Manager und Ticketverkaufs-Plugin für WooCommerce

Installationen
9,000+

Schwachstelle
Contributor+ SQL Injection

Gepatcht in Version
3.5.8

Schweregrad
Hoch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.5.8 aktualisieren.

Patreon WordPress

Produktbild für Patreon WordPress.

Plugin
Patreon WordPress

Installationen
5,000+

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
1.8.2

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.8.2 aktualisieren.

WP Home Page Menü

Produktbild zu WP Home Page Menu.

Plugin
WP Home Page Menü

Installationen
900+

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
3.1

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.1 aktualisieren.

Kunze Gesetz

Produktbild zu Kunze Law.

Plugin
Kunze-Gesetz

Installationen
800+

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
2.1

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.1 aktualisieren.

Team Circle Image Slider mit Lightbox

Produktbild zu Team Circle Image Slider With Lightbox.

Plugin
Team Circle Image Slider mit Leuchtkasten

Installationen
800+

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
1.0.16

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.0.16 aktualisieren.

Login mit Telefonnummer

Produktbild zu Login mit Telefonnummer.

Plugin
Login mit Telefonnummer

Installationen
600+

Schwachstelle
Unauthentifizierte Remote-Plugin-Löschung

Gepatcht in Version
1.3.7

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.3.7 aktualisieren.

Sync iCloud COS

Produktbild für Sync QCloud COS.

Plugin
Sync QCloud COS

Installationen
300+

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
2.0.1

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.0.1 aktualisieren.

Flexi - Gast einreichen

Produktbild zu Flexi - Guest Submit.

Plugin
Flexi - Gast einreichen

Installationen
200+

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
4.20

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 4.20 aktualisieren.

CommonsBooking

Produktbild für CommonsBooking.

Plugin
CommonsBooking

Installationen
100+

Schwachstelle
Unauthentifizierte SQL Injection

Gepatcht in Version
2.6.8

Schweregrad
Hoch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.6.8 aktualisieren.

Multisite Content Copier/Updater

Plugin
WordPress Multisite Content Copier/Updater

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
2.1.2

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.1.2 aktualisieren.

Relevanssi - Abonnent+

Plugin

Schwachstelle
Unerlaubte AJAX-Aufrufe

Gepatcht in Version
2.16.5

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.16.5 aktualisieren.

WordPress-Plugin-Schwachstellen - kein bekannter Fix

Dieser Abschnitt enthält Plugin-Schwachstellen, für die keine Lösung bekannt ist. Bis ein Patch verfügbar ist, deinstalliere und lösche das Plugin sofort.

Persischer Woocommerce

Produktbild für ??????? ?????.

Plugin
??????? ?????

Installationen
80,000+

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Bessere WordPress Google XML Sitemaps

Plugin
Bessere WordPress Google XML Sitemaps (unterstützt Sitemap Index, Multi-Site und Google News)

Schwachstelle
Unauthentifiziertes Stored Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Hoch

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Page Builder KingComposer

Plugin
Seitenerstellung: KingComposer - Kostenloser Drag-and-Drop-Seitenersteller von King-Theme

Schwachstelle
Offener Redirect

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

hub2word

Plugin
Easy Embed für HubSpot Formulare, CTAs, Links, Dateien & HubSpot zu WP Suchergebnissen hinzufügen

Schwachstelle
Subscriber+ Arbitrary Options Update

Gepatcht in Version
Kein Fix

Schweregrad
Kritisch

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Einfache Theme-Optionen

Plugin
Einfache Theme-Optionen

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Niedrig

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

SEO 301 Meta

Plugin
Seo 301 Meta

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Niedrig

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Einfaches Zitat

Plugin
Einfaches Zitat

Schwachstelle
Subscriber+ SQL Injection; Angebotserstellung/-bearbeitung über CSRF zu Stored Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Hoch

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

GD Mylist

Plugin
GDMylist

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Niedrig

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

WP Voting Contest

Plugin
WP Voting Contest

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Petfinder Listings

Plugin
Petfinder Listings

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Niedrig

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

WordPress Theme Sicherheitslücken

In diesem Abschnitt werden die neuesten Sicherheitslücken in WordPress-Themes aufgelistet. Zu jedem Theme werden die Art der Sicherheitslücke, die aktiven Installationen, die Versionsnummer (falls gepatcht) und der Schweregrad angegeben.

  • Diese Woche wurden keine neuen Sicherheitslücken in Themes bekannt gegeben.

Wie du deine WordPress-Website vor anfälligen Plugins und Themes schützt

Wie du aus diesem Bericht ersehen kannst, werden jede Woche viele neue Sicherheitslücken in WordPress-Plugins und -Themes bekannt. Wir wissen, dass es schwierig sein kann, über jede gemeldete Sicherheitslücke auf dem Laufenden zu bleiben, deshalb haben wir iThemes Security Pro Plugin kannst du ganz einfach sicherstellen, dass auf deiner Website kein Theme, Plugin oder eine WordPress-Kernversion mit einer bekannten Sicherheitslücke verwendet wird.

Hol dir iThemes Security Pro mit 24/7 Website-Sicherheitsüberwachung

iThemes Security Pro, unser WordPress Sicherheits-Pluginbietet mehr als 50 Möglichkeiten, deine Website zu sichern und vor gängigen WordPress-Sicherheitslücken zu schützen. Mit WordPress, der Zwei-Faktor-Authentifizierung, dem Brute-Force-Schutz, der Erzwingung von starken Passwörtern und mehr kannst du deiner Website zusätzliche Sicherheitsebenen hinzufügen.

iThemes Security Pro kaufen

Möchtest du den wöchentlichen WordPress Schwachstellenbericht direkt in deinen Posteingang erhalten? Melde dich für die wöchentliche E-Mail an.

WordPress Schwachstellenbericht

Quelle


Dieser Artikel ist im Original von ithemes.com und wurde übersetzt
https://ithemes.com/blog/wordpress-vulnerability-report-february-23-2022/

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung