WordPress-Schwachstellenbericht – 6. April 2022

6. April 2022

Geschrieben von auf

Zuletzt aktualisiert am 6. April 2022

Anfällige Plugins und Themes sind der # 1-Grund, warum WordPress-Websites gehackt werden. Der wöchentliche WordPress-Schwachstellenbericht unterstützt von WPScan behandelt die neuesten WordPress-Plugin-, Theme- und Core-Schwachstellen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Themes auf Ihrer Website ausführen.

Jede Schwachstelle hat einen Schweregrad von niedrig, mittel, hoch oder kritisch. Die verantwortungsvolle Offenlegung und Meldung von Schwachstellen ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community. Bitte teilen Sie diesen Beitrag mit Ihren Freunden, um das Wort zu verbreiten und WordPress für alle sicherer zu machen!

WordPress Core-Schwachstellen

WordPress 5.9.3 wurde am 5. April 2022 als Short-Cycle-Maintenance-Release mit 19 Bugfixes veröffentlicht. Da es sich um ein Kernupdate handelt, sollten Sie so schnell wie möglich auf WordPress 5.9.3 aktualisieren.

  • In dieser Woche wurden keine neuen WordPress-Kernschwachstellen gemeldet.

WordPress Plugin Schwachstellen

In diesem Abschnitt wurden die neuesten WordPress-Plugin-Schwachstellen offengelegt. Jede Plugin-Auflistung enthält die Art der Schwachstelle, die aktiven Installationen, die Versionsnummer, falls gepatcht, und die Bewertung des Schweregrads.

Erweiterte benutzerdefinierte Felder

Produktbild für erweiterte benutzerdefinierte Felder .

Plugin (Englisch)
Erweiterte benutzerdefinierte Felder

Installationen
2,000,000+

Schwachstelle
Zugriff auf Contributor+ Datenbankinformationen

In Version gepatcht
5.12.1

Bewertung des Schweregrads
Mittel

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 5.12.1 aktualisieren.

Anti-Malware-Sicherheit und Brute-Force-Firewall

Produktbild für Anti-Malware-Sicherheit und Brute-Force-Firewall.

Plugin (Englisch)
Anti-Malware-Sicherheit und Brute-Force-Firewall

Installationen
200,000+

Schwachstelle
Reflektiertes Cross-Site-Scripting

In Version gepatcht
4.20.96

Bewertung des Schweregrads
Niedrig

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 4.20.96 aktualisieren.

Spamschutz, AntiSpam, FireWall von CleanTalk

Produktbild für Spamschutz, AntiSpam, FireWall von CleanTalk.

Plugin (Englisch)
Spamschutz, AntiSpam, FireWall von CleanTalk

Installationen
100,000+

Schwachstelle
Reflektiertes Cross-Site-Scripting

In Version gepatcht
5.174.1

Bewertung des Schweregrads
Mittel

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 5.174.1 aktualisieren.

Schnelle Adsense

Produktbild für Quick Adsense.

Plugin (Englisch)
Schnelle Adsense

Installationen
70,000+

Schwachstelle
Subscriber+ Post Stats Zurücksetzen

In Version gepatcht
2.8.2

Bewertung des Schweregrads
Mittel

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 2.8.2 aktualisieren.

wpDataTabellen

Produktbild für wpDataTables – Tabellen & Tabellendiagramme.

Plugin (Englisch)
wpDataTables – Tabellen & Tabellendiagramme

Installationen
60,000+

Schwachstelle
Admin+ Gespeichertes Cross-Site-Scripting

In Version gepatcht
2.1.28

Bewertung des Schweregrads
Niedrig

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 2.1.28 aktualisieren.

Animieren Sie es!

Produktbild für Animate It!.

Plugin (Englisch)
Animieren Sie es!

Installationen
40,000+

Schwachstelle
Contributor+ Gespeichertes Cross-Site-Scripting

In Version gepatcht
2.4.0

Bewertung des Schweregrads
Mittel

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 2.4.0 aktualisieren.

ThirstyAffiliates Affiliate Link Manager

Produktbild für ThirstyAffiliates Affiliate Link Manager.

Plugin (Englisch)
ThirstyAffiliates Affiliate Link Manager

Installationen
40,000+

Schwachstelle
Erstellung beliebiger Affiliate-Links durch Abonnenten; Abonnent+ nicht autorisierter Bild-Upload + CSRF

In Version gepatcht
3.10.5

Bewertung des Schweregrads
Niedrig

Das -Schwachstelle wurde gepatcht, daher sollten Sie auf Version 3.10.5 aktualisieren.

Weblizar Pin It Button auf Bild Hover und Post

Produktbild für Weblizar Pin It Button On Image Hover And Post.

Plugin (Englisch)
Weblizar Pin It Button auf Bild Hover und Post

Installationen
30,000+

Schwachstelle
Aktualisierung der abonnenten- und willkürlichen Einstellungen

In Version gepatcht
3.4

Bewertung des Schweregrads
Mittel

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 3.4 aktualisieren.

Mycred

Produktbild für myCred – Punkte, Belohnungen, Gamification, Ränge, Abzeichen & Treue-Plugin.

Plugin (Englisch)
myCred – Punkte, Belohnungen, Gamification, Ränge, Badges & Loyalty Plugin

Installationen
20,000+

Schwachstelle
Offenlegung der E-Mail-Adressen von Abonnenten + Benutzern; Subscriber+ Import/Export zur Offenlegung der E-Mail-Adresse; Subscriber+ Beliebige Beitragserstellung

In Version gepatcht
2.4.4.1

Bewertung des Schweregrads
Mittel

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 2.4.4.1 aktualisieren.

Soziale Kommentare von WpDevArt

Produktbild für sociale Kommentare von WpDevArt.

Plugin (Englisch)
Soziale Kommentare von WpDevArt

Installationen
20,000+

Schwachstelle
Admin+ Gespeichertes Cross-Site-Scripting

In Version gepatcht
2.5.0

Bewertung des Schweregrads
Niedrig

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 2.5.0 aktualisieren.

Spenderbox

Plugin (Englisch)
Donorbox – Kostenloses wiederkehrendes Spendenformular

Installationen
9,000+

Schwachstelle
Admin+ Gespeichertes Cross-Site-Scripting

In Version gepatcht
7.1.7

Bewertung des Schweregrads
Niedrig

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 7.1.7 aktualisieren.

WP YouTube Live

Produktbild für WP YouTube Live.

Plugin (Englisch)
WP YouTube Live

Installationen
3,000+

Schwachstelle
Authentifiziertes reflektiertes cross-site-Scripting

In Version gepatcht
1.7.22

Bewertung des Schweregrads
Mittel

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 1.7.22 aktualisieren.

Menüleiste

Plugin (Englisch)
Menüleiste

Installationen
3,000+

Schwachstelle
Reflektiertes Cross-Site-Scripting

In Version gepatcht
5.8

Bewertung des Schweregrads
Mittel

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 5.8 aktualisieren.

Amr Benutzer

Produktbild für amr-Benutzer.

Plugin (Englisch)
amr Benutzer

Installationen
2,000+

Schwachstelle
Admin+ Gespeichertes Cross-Site-Scripting

In Version gepatcht
4.59.4

Bewertung des Schweregrads
Niedrig

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 4.59.4 aktualisieren.

Opensea

Produktbild für Opensea.

Plugin (Englisch)
Opensea

Installationen
1,000+

Schwachstelle
Admin+ Gespeicherte XSS

In Version gepatcht
1.0.3

Bewertung des Schweregrads
Mittel

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 1.0.3 aktualisieren.

Seiteneinschränkung WordPress

Produktbild für Seiteneinschränkung WordPress (WP) – Schützen Sie WP-Seiten / Post.

Plugin (Englisch)
Seitenbeschränkung WordPress (WP) - Schützen Sie WP-Seiten / Post

Installationen
600+

Schwachstelle
Admin+ Gespeichertes Cross-Site-Scripting

In Version gepatcht
1.2.7

Bewertung des Schweregrads
Niedrig

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 1.2.7 aktualisieren.

POPIA-konform sein

Plugin (Englisch)
POPIA-konform sein

Installationen
20+

Schwachstelle
Nicht authentifizierte Offenlegung sensibler Informationen

In Version gepatcht
1.1.6

Bewertung des Schweregrads
Mittel

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 1.1.6 aktualisieren.

5 Sterne Bewertung Funnel

Produktbild für 5 Sterne Bewertung Funnel WordPress Plugin | RRatingg.

Plugin (Englisch)
5 Sterne Bewertung Funnel WordPress Plugin | RRatingg

Installationen
10+

Schwachstelle
Nicht authentifiziertes SQLi

In Version gepatcht
1.2.53

Bewertung des Schweregrads
Hoch

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 1.2.53 aktualisieren.

Flo Start

Plugin (Englisch)

Schwachstelle
Fehlende Authentifizierung ermöglicht vollständige Standortübernahme

In Version gepatcht
2.4.1

Bewertung des Schweregrads
Kritisch

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 2.4.1 aktualisieren.

uDraw

Plugin (Englisch)
Web To Print Shop : uDraw

Schwachstelle
Nicht authentifizierter zugriff auf beliebige Dateien

In Version gepatcht
3.3.3

Bewertung des Schweregrads
Hoch

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 3.3.3 aktualisieren.

LayerSlider

Plugin (Englisch)
Ebenenschieberegler

Schwachstelle
Admin+ Gespeichertes Cross-Site-Scripting

In Version gepatcht
7.1.2

Bewertung des Schweregrads
Niedrig

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 7.1.2 aktualisieren.

Englisch WordPress Admin

Plugin (Englisch)
Englisch WordPress Admin

Schwachstelle
Nicht authentifizierte offene Weiterleitung

In Version gepatcht
1.5.2

Bewertung des Schweregrads
Mittel

Die Schwachstelle wurde gepatcht, daher sollten Sie auf Version 1.5.2 aktualisieren.

WordPress Plugin Schwachstellen - Keine bekannte Lösung

Dieser Abschnitt enthält Plugin-Schwachstellen ohne bekannte Lösung. Bis ein Patch verfügbar ist, deinstallieren und löschen Sie das Plugin sofort.

ULeak Sicherheit & Überwachung

Plugin (Englisch)
ULeak Sicherheits- und Überwachungs-Plugin

Schwachstelle
Abonnent+ Gespeichertes Cross-Site-Scripting

In Version gepatcht
Keine Lösung

Bewertung des Schweregrads
Hoch

Die Sicherheitsanfälligkeit wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Taxi-Tarifrechner

Produktbild für Cab-Fahrpreisrechner.

Plugin (Englisch)
Taxi-Tarifrechner

Installationen
100+

Schwachstelle
Nicht authentifizierte LFI

In Version gepatcht
Keine Lösung

Bewertung des Schweregrads
Mittel

Die Sicherheitsanfälligkeit wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Videos synchronisieren PDF

Produktbild für Videos pdf synchronisieren.

Plugin (Englisch)
Videos synchronisieren PDF

Installationen
10+

Schwachstelle
Nicht authentifizierte LFI

In Version gepatcht
Keine Lösung

Bewertung des Schweregrads
Mittel

Die Sicherheitsanfälligkeit wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Flinker Page Builder

Plugin (Englisch)
Flinker Page Builder

Schwachstelle
Reflektiertes Cross-Site-Scripting

In Version gepatcht
Keine Lösung

Bewertung des Schweregrads
Mittel

Die Sicherheitsanfälligkeit wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Bücher & Papiere

Plugin (Englisch)
Bücher & Papiere

Schwachstelle
Admin+ Gespeichertes Cross-Site-Scripting

In Version gepatcht
Keine Lösung

Bewertung des Schweregrads
Niedrig

Die Sicherheitsanfälligkeit wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Clipr

Produktbild für Clipr.

Plugin (Englisch)
Clipr

Schwachstelle
Admin+ Gespeichertes Cross-Site-Scripting

In Version gepatcht
Keine Lösung

Bewertung des Schweregrads
Niedrig

Die Sicherheitsanfälligkeit wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Spenden

Plugin (Englisch)
Spenden

Schwachstelle
Nicht authentifiziertes SQLi

In Version gepatcht
Keine Lösung

Bewertung des Schweregrads
Hoch

Die Sicherheitsanfälligkeit wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Master-Elemente

Plugin (Englisch)
Master-Elemente

Schwachstelle
Nicht authentifiziertes SQLi

In Version gepatcht
Keine Lösung

Bewertung des Schweregrads
Kritisch

Die Sicherheitsanfälligkeit wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Benutzer Ultra

Plugin (Englisch)
Benutzer Ultra Mitgliedschaft, Benutzer-Community und Mitgliederprofile mit PayPal Integrations-Plugin

VulNerabilität
Nicht authentifizierte SQL-Injektion

In Version gepatcht
Keine Lösung

Bewertung des Schweregrads
Hoch

Die Sicherheitsanfälligkeit wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Erweiterter Seitenaufrufzähler

Plugin (Englisch)
Advanced Page Visit Counter - Am weitesten fortgeschrittenes WordPress Visit Counter Plugin

Schwachstelle
Subscriber+ Blind SQL Injection

In Version gepatcht
Keine Lösung

Bewertung des Schweregrads
Hoch

Die Sicherheitsanfälligkeit wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

DW Frage & Antwort Pro

Plugin (Englisch)
DW Frage Antwort Pro

Schwachstelle
Mehrere CSRF; Beliebige Kommentarausgabe über IDOR

In Version gepatcht
Keine Lösung

Bewertung des Schweregrads
Mittel

Die Sicherheitsanfälligkeit wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

Testimonial Slider

Plugin (Englisch)
Testimonial Slider - Kostenlose Testimonials Slider Plugin

Schwachstelle
Contributor+ Gespeichertes Cross-Site-Scripting

In Version gepatcht
Keine Lösung

Bewertung des Schweregrads
Mittel

Die Sicherheitsanfälligkeit wurde nicht gepatcht. Sie sollten das Plugin deaktivieren.

WordPress Theme Schwachstellen

In diesem Abschnitt wurden die neuesten WordPress-Theme-Schwachstellen offengelegt. Jede Themenliste enthält die Art der Schwachstelle, die aktiven Installationen, die Versionsnummer, falls gepatcht, und die Bewertung des Schweregrads.

  • Gute Nachricht! Diese Woche wurden keine neuen WordPress-Theme-Schwachstellen gemeldet.

So schützen Sie Ihre WordPress-Website vor anfälligen Plugins und Themes

Wie Sie aus diesem Bericht sehen können, werden jede Woche viele neue WordPress-Plugin- und Theme-Schwachstellen offengelegt. Wir wissen, dass es schwierig sein kann, bei jeder gemeldeten Schwachstellenoffenlegung den Überblick zu behalten. iThemes Security Pro Plugin macht es einfach, sicherzustellen, dass Auf Ihrer Website kein Theme, Plugin oder WordPress-Kernversion mit einer bekannten Schwachstelle ausgeführt wird.

Holen Sie sich iThemes Security Pro mit 24/7 Website Security Monitoring

iThemes Security Pro, unsere WordPress-Sicherheits-Plugin, bietet mehr als 50 Möglichkeiten, Ihre Website vor häufigen WordPress-Sicherheitslücken zu schützen und zu schützen. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website zusätzliche Sicherheitsebenen hinzufügen.

Holen Sie sich iThemes Security Pro

Quelle


Dieser Artikel ist im Original von ithemes.com und wurde übersetzt
https://ithemes.com/blog/wordpress-vulnerability-report-april-6-2022/

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung