WordPress Schwachstellenbericht – 8. Juni 2022

8. Juni 2022

Schwachstellen in Plugins und Themes sind der Hauptgrund dafür, dass WordPress-Websites gehackt werden. Der wöchentliche WordPress Schwachstellenbericht powered by WPScan behandelt aktuelle WordPress-Plugin-, Theme- und Core-Schwachstellen und was zu tun ist, wenn du eines der anfälligen Plugins oder Themes auf deiner Website verwendest.

Jede Sicherheitslücke wird mit einem Schweregrad von niedrig, mittel, hoch oder kritisch eingestuft. Die verantwortungsvolle Offenlegung und Meldung von Sicherheitslücken ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community. Bitte teile diesen Beitrag mit deinen Freunden und Bekannten, um die Nachricht zu verbreiten und WordPress für alle sicherer zu machen.!

Erhalte den wöchentlichen WordPress Schwachstellenbericht jeden Mittwoch in deinen Posteingang.

WordPress Core Sicherheitslücken

WordPress 6.0 "Arturo" ist veröffentlicht worden! Diese neue Version von WordPress wurde entwickelt, um dir dabei zu helfen, deine kreativen Ambitionen zu entfalten und die Erstellung deiner Website intuitiver zu gestalten. Siehe, was neu ist in WordPress 6.0.

  • Diese Woche wurden keine neuen WordPress-Sicherheitslücken bekannt gegeben.

WordPress Plugin Sicherheitslücken

In diesem Abschnitt werden die neuesten Sicherheitslücken in WordPress-Plugins aufgeführt. Zu jedem Plugin werden die Art der Schwachstelle, die aktiven Installationen, die Versionsnummer (falls gepatcht) und der Schweregrad angegeben.

GTM4WP

Produktbild zum GTM4WP.

Installationen
600,000+

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
1.15.2

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.15.2 aktualisieren.

Ultimatives Mitglied

Produktbild zu Ultimate Member - User Profile, User Registration, Login & Membership Plugin.

Installationen
200,000+

Schwachstelle
Subscriber+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
2.4.0

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.4.0 aktualisieren.

Download Manager

Produktbild für Download Manager.

Installationen
100,000+

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
3.2.43

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.2.43 aktualisieren.

Verschachtelte Seiten

Produktbild zu Nested Pages.

Installationen
90,000+

Schwachstelle
Admin+ Gespeichertes Cross Site Scripting

Gepatcht in Version
3.1.21

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.1.21 aktualisieren.

Co-Autoren-Plus

Produktbild zu Co-Autoren-Plus.

Installationen
30,000+

Schwachstelle
Offenlegung von Gastautoren-E-Mail-Adressen

Gepatcht in Version
3.5.2

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.5.2 aktualisieren.

Icegram

Produktbild zu Popups, Welcome Bar, Optins und Lead Generation Plugin - Icegram.

Installationen
30,000+

Schwachstelle
Contributor+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
2.1.8

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.1.8 aktualisieren.

Meine private Seite

Produktbild zu My Private Site.

Installationen
30,000+

Schwachstelle
Willkürliches Update der Einstellungen über CSRF

Gepatcht in Version
3.0.8

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.0.8 aktualisieren.

Google Authenticator von miniOrange

Produktbild zu miniOrange's Google Authenticator - WordPress Zwei-Faktor-Authentifizierung (2FA , Two Factor, OTP SMS und Email) | Passwortlose Anmeldung.

Installationen
20,000+

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
5.5.6

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 5.5.6 aktualisieren.

Neue Benutzer zulassen

Produktbild zu New User Approve.

Installationen
20,000+

Schwachstelle
Arbiträres Einstellungsupdate & Erstellung von Einladungscode über CSRF

Gepatcht in Version
2.4

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.4 aktualisieren.

Einfache Preistabellen

Produktbild zu Pricing Tables WordPress Plugin - Easy Pricing Tables.

Installationen
20,000+

Schwachstelle
Reflektiertes Cross-Site-Scripting

Gepatcht in Version
3.2.1

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.2.1 aktualisieren.

Einfache SVG-Unterstützung

Produktbild zu Easy SVG Support.

Installationen
10,000+

Schwachstelle
Author+ Gespeichertes Cross Site Scripting über SVG

Gepatcht in Version
3.3.0

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.3.0 aktualisieren.

WP Ultimate CSV Importer

Produktbild zu Import Export All WordPress Images, Users & Post Types.

Installationen
10,000+

Schwachstelle
Admin+ Blind SSRF

Gepatcht in Version
6.5.3

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 6.5.3 aktualisieren.

Aktive Produkttabellen für WooCommerce

Produktbild zu Active Products Tables for WooCommerce. Professionelle Produkttabellen für den WooCommerce-Shop.

Installationen
3,000+

Schwachstelle
Reflektiertes Cross-Site-Scripting

Gepatcht in Version
1.0.5

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.0.5 aktualisieren.

ARMember

Produktbild zu ARMember - Membership Plugin, Content Restriction, Member Levels, User Profile & User signup.

Installationen
2,000+

Schwachstelle
Unauthentifizierte Übernahme eines Admin-Kontos

Gepatcht in Version
3.4.8

Schweregrad
Kritisch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.4.8 aktualisieren.

Produktkonfigurator für WooCommerce

Produktbild für den Produktkonfigurator für WooCommerce.

Installationen
1,000+

Schwachstelle
Unauthentifiziertes willkürliches Löschen von Dateien

Gepatcht in Version
1.2.32

Schweregrad
Hoch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.2.32 aktualisieren.

WP Post Styling

Produktbild zu WP Post Styling.

Installationen
800+

Schwachstelle
Mehrere CSRF

Gepatcht in Version
1.3.1

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.3.1 aktualisieren.

Anmeldung mit WordPress-Benutzern

Produktbild für die Anmeldung mit WordPress-Benutzern ( WP als SAML IDP ).

Installationen
700+

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
1.13.4

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.13.4 aktualisieren.

miniOrange Google Authenticator

Plugin
Google Authenticator

Schwachstelle
CSRF zu gespeichertem Cross-Site Scripting

Gepatcht in Version
1.0.5

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.0.5 aktualisieren.

Moderner Veranstaltungskalender Lite

Plugin
Moderner Veranstaltungskalender Lite

Schwachstelle
Authentifiziertes Stored Cross-Site Scripting

Gepatcht in Version
6.3.0

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 6.3.0 aktualisieren.

WordPress-Plugin-Schwachstellen - kein bekannter Fix

Dieser Abschnitt enthält Plugin-Schwachstellen, für die keine Lösung bekannt ist. Bis ein Patch verfügbar ist, deinstalliere und lösche das Plugin sofort.

XCloner

Produktbild zu WordPress-Seiten sichern, wiederherstellen und migrieren mit dem XCloner Plugin.

Installationen
20,000+

Schwachstelle
Unauthentifiziertes Zurücksetzen von Plugin-Einstellungen

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Qubely

Produktbild zu Qubely - Advanced Gutenberg Blocks.

Installationen
10,000+

Schwachstelle
Authentifiziertes Update beliebiger Einstellungen

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Blumenlieferung von Florist One

Produktbild zu Blumenlieferung von Florist One.

Installationen
100+

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Niedrig

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

HTML2WP

Schwachstelle
Subscriber+ Willkürliches Löschen von Dateien; Willkürliches Aktualisieren von Einstellungen über CSRF; Unauthentifizierter, willkürlicher Dateiupload

Gepatcht in Version
Kein Fix

Schweregrad
Hoch

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

MailPress

Schwachstelle
Arbiträres Einstellungsupdate & Löschen von Logdateien über CSRF

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

Website offline oder demnächst verfügbar

Schwachstelle
Gespeichertes Cross-Site Scripting über CSRF

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

Ultimativer WooCommerce CSV-Importer

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

WP Sentry

Schwachstelle
Arbiträres Einstellungsupdate zu gespeichertem XSS über CSRF

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

Google Authenticator

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Niedrig

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

Clean-Contact

Schwachstelle
Arbiträres Einstellungsupdate zu gespeichertem XSS über CSRF

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

Tiny Contact Form

Schwachstelle
Willkürliches Update der Einstellungen über CSRF

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

Social Share Buttons von Supsystic

Schwachstelle
Mehrere CSRF

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

MiniOrange Login-Versuche begrenzen

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Niedrig

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

WPMK Ajax Finder

Schwachstelle
Gespeichertes Cross-Site Scripting über CSRF

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

Beitrags-URL hinzufügen

Schwachstelle
Arbiträres Einstellungsupdate zu gespeichertem XSS über CSRF

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

WordPress Sicherheit

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Niedrig

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

Mihdan: Keine externen Links

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Niedrig

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

miniOrange's Malware Scanner

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Niedrig

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

Bildergalerie - Raster-Galerie

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Niedrig

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

MyCSS

Schwachstelle
Willkürliches Update der Einstellungen über CSRF

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

Browser- und Betriebssystem-Finder

Schwachstelle
Unauthentifiziertes Zurücksetzen von Einstellungen

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

OpenBook Buchdaten

Schwachstelle
Arbiträres Einstellungsupdate zu gespeichertem XSS über CSRF

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

Mobile Browser Farbauswahl

Schwachstelle
Gespeichertes Cross-Site Scripting über CSRF

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

NextCellent Galerie

Schwachstelle
Admin+ Gespeicherte XSS

Gepatcht in Version
Kein Fix

Schweregrad
Niedrig

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

Formular - Kontakt-Formular

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Niedrig

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

Rotierende Beiträge

Schwachstelle
Arbiträres Einstellungsupdate zu gespeichertem XSS über CSRF

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

Cimy Header Image Rotator

Schwachstelle
Willkürliches Update der Einstellungen über CSRF

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde nicht gepatcht und das Plugin ist geschlossen. Du solltest das Plugin deinstallieren und löschen.

WordPress Theme Sicherheitslücken

In diesem Abschnitt werden die neuesten Sicherheitslücken in WordPress-Themes aufgelistet. Zu jedem Theme werden die Art der Sicherheitslücke, die aktiven Installationen, die Versionsnummer (falls gepatcht) und der Schweregrad angegeben.

  • Gute Nachrichten! Diese Woche wurden keine neuen Sicherheitslücken in WordPress-Themes bekannt gegeben.

Mach dir nie wieder Sorgen, dass du ein verwundbares Plugin oder Theme benutzt.

Wie du aus diesem Bericht ersehen kannst, werden jede Woche viele neue Sicherheitslücken in WordPress-Plugins und -Themes bekannt gegeben. Wir wissen, dass es schwierig sein kann, bei jeder gemeldeten Sicherheitslücke auf dem Laufenden zu bleiben. Deshalb kannst du mit dem iThemes Security Pro Plugin ganz einfach sicherstellen, dass auf deiner Website kein Theme, Plugin oder eine WordPress-Kernversion mit einer bekannten Sicherheitslücke verwendet wird.

Scannt deine Website zweimal am Tag auf Sicherheitslücken

Die Plugins, Themes und WordPress-Kernversionen deiner Website werden mit der WPScan-Schwachstellen-Datenbank auf die neuesten Sicherheitslücken überprüft.

Automatische Updates, wenn ein Sicherheitsfix verfügbar ist

In Verbindung mit der Versionsverwaltung aktualisiert iThemes Security automatisch ein Plugin, ein Theme oder eine WordPress-Kernversion, wenn es eine Sicherheitslücke gibt.

Benachrichtigt dich per E-Mail, wenn der Site Scan eine Sicherheitslücke entdeckt

Du kannst einen E-Mail-Bericht erhalten, wenn auf deiner Website gefährdete Versionen eines Plugins, Themes oder WordPress-Kerns installiert sind. Lege die E-Mail-Adressen fest, die die Scan-Ergebnisse erhalten sollen.

Das beste WordPress-Sicherheits-Plugin zum Sichern & Schützen von WordPress-Seiten

Mehr als 40 % aller Websites werden mit WordPress betrieben. Das macht es zu einem leichten Ziel für Hacker mit bösartigen Absichten. Das iThemes Security Pro Plugin macht es dir leicht, deine WordPress-Website zu sichern und zu schützen. Es ist so, als hättest du einen Sicherheitsexperten, der deine WordPress-Website ständig für dich überwacht und schützt.

Quelle


Dieser Artikel ist im Original von ithemes.com und wurde übersetzt
https://ithemes.com/blog/wordpress-vulnerability-report-june-8-2022/

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung