WordPress Schwachstellenbericht - 9. März 2022

Anfällige Plugins und Themes sind der Hauptgrund dafür, dass WordPress-Websites gehackt werden. Der wöchentliche WordPress-Schwachstellenbericht powered by WPScan behandelt aktuelle WordPress-Plugin-, Theme- und Core-Schwachstellen und was zu tun ist, wenn du eines der anfälligen Plugins oder Themes auf deiner Website einsetzt.

Jede Sicherheitslücke wird mit einem Schweregrad von Niedrig, Medium, Hoch, oder Kritisch. Die verantwortungsvolle Offenlegung und Meldung von Sicherheitslücken ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community. Bitte teile diesen Beitrag mit deinen Freunden, um die Nachricht zu verbreiten und WordPress für alle sicherer zu machen.!

WordPress Core Sicherheitslücken

WordPress 5.9.1 wurde am 22. Februar 2022 als Wartungsupdate mit 33 Fehlerbehebungen veröffentlicht. Stelle sicher, dass du so schnell wie möglich auf WordPress 5.9.1 aktualisierst!

Diese Woche wurden keine neuen Sicherheitslücken im WordPress-Kern veröffentlicht.

WordPress Plugin Sicherheitslücken

In diesem Abschnitt werden die neuesten Sicherheitslücken in WordPress-Plugins aufgeführt. Zu jedem Plugin werden die Art der Schwachstelle, die aktiven Installationen, die Versionsnummer (falls gepatcht) und der Schweregrad angegeben.

MC4WP

Plugin: MC4WP: Mailchimp für WordPress
Installationen: 2,000,000+
Schwachstelle: Admin+ Gespeichertes Cross-Site Scripting
Gepatcht in Version: 4.8.7
Schweregrad: Niedrig

WordPress mit GTranslate übersetzen

Plugin: WordPress übersetzen mit GTranslate
Installationen: 300,000+
Schwachstelle: CSRF zur Kontoübernahme
Gepatcht in Version: 2.9.9
Schweregrad: Hoch

Popup Builder

Plugin: Popup Builder - Erstelle hoch konvertierende, mobilfreundliche Marketing-Popups.
Installationen: 200,000+
Schwachstelle: SQL Injection zu Reflected Cross-Site Scripting
Gepatcht in Version: 4.1.1
Schweregrad: Mittel

String Locator

Plugin: String locator
Installationen: 100,000+
Schwachstelle: Admin+ Beliebiges Lesen von Dateien
Gepatcht in Version: 2.5.0
Schweregrad: Niedrig

Menübild, Icons leicht gemacht

Plugin: Menübild, Icons leicht gemacht
Installationen: 100,000+
Schwachstelle: Subscriber+ Gespeichertes Cross-Site Scripting
Gepatcht in Version: 3.0.8
Schweregrad: Hoch

Amelia

Plugin: Amelia - Events & Termine Buchungskalender
Installationen: 40,000+
Schwachstelle: Unauthentifizierter Stored XSS über lastName; Customer+ Arbitrary Appointments Update und Offenlegung sensibler Daten
Gepatcht in Version: 1.0.47
Schweregrad: Hoch

Mehrere Dateien per Drag & Drop hochladen - Kontakt-Formular 7

Plugin: Mehrere Dateien per Drag & Drop hochladen - Kontakt-Formular 7
Installationen: 40,000+
Schwachstelle: Unauthentifizierter Stored XSS
Gepatcht in Version: 1.3.6.3
Schweregrad: Mittel

WordPress Datei-Upload

Plugin: WordPress Datei Upload
Installationen: 30,000+
Schwachstelle: Contributor+ Path Traversal zu RCE
Gepatcht in Version: 4.16.3
Schweregrad: Kritisch

WPC Smart Wishlist für WooCommerce

Plugin: WPC Smart Wishlist für WooCommerce
Installationen: 30,000+
Schwachstelle: Reflektiertes Cross-Site Scripting
Gepatcht in Version: 2.9.4
Schweregrad: Mittel

SpeakOut! E-Mail-Petitionen

Plugin: SpeakOut! E-Mail-Petitionen
Installationen: 5,000+
Schwachstelle: Unauthentifizierte SQLi
Gepatcht in Version: 2.14.15.1
Schweregrad: Hoch

Kirche Admin

Plugin: Kirchenverwaltung
Installationen: 1,000+
Schwachstelle: Offenlegung des Backups eines nicht authentifizierten Plugins
Gepatcht in Version: 3.4.135
Schweregrad: Hoch

Coupon Affiliates

Plugin: WooCommerce Affiliate Plugin - Coupon Affiliates
Installationen: 1,000+
Schwachstelle: Unauthentifizierter Stored XSS
Gepatcht in Version: 4.16.4.5
Schweregrad: Hoch

Revisionsmanager TMC

Plugin: Revisionsmanager TMC
Installationen: 1,000+
Schwachstelle: Offenlegung von Ordnern über veraltete jQueryFileTree-Bibliothek
Gepatcht in Version: 2.8.0
Schweregrad: Mittel

Titel Experimente Frei

Plugin: Titel Experimente Frei
Installationen: 800+
Schwachstelle: Unauthentifizierte SQLi
Gepatcht in Version: 9.0.1
Schweregrad: Hoch

Task Scheduler

Plugin: Task Scheduler
Installationen: 500+
Schwachstelle: Offenlegung von Ordnern über veraltete jQueryFileTree-Bibliothek
Gepatcht in Version: 1.6.1
Schweregrad: Mittel

Login-Versuche begrenzen (Spam-Schutz)

Plugin: Login-Versuche begrenzen (Spam-Schutz)
Installationen: 300+
Schwachstelle: Unauthentifizierte SQLi
Gepatcht in Version: 5.1
Schweregrad: Hoch

Popup-Like-Box

Plugin: Popup-Like-Box - Seiten-Plugin
Installationen: 300+
Schwachstelle: Reflektiertes Cross-Site Scripting
Gepatcht in Version: 3.6.1
Schweregrad: Mittel

Admin Page Framework

Plugin: Admin Page Framework
Installationen: 200+
Schwachstelle: Offenlegung von Ordnern über veraltete jQueryFileTree-Bibliothek
Gepatcht in Version: 3.9.0
Schweregrad: Mittel

Konferenzplaner

Plugin: Konferenzplaner
Installationen: 200+
Schwachstelle: Reflektiertes Cross-Site Scripting
Gepatcht in Version: 2.4.3
Schweregrad: Mittel

Plezi

Plugin: Plezi
Installationen: 100+
Schwachstelle: Unauthentifizierter Stored XSS
Gepatcht in Version: 1.0.3
Schweregrad: Hoch

WordPress Datei-Upload

Plugin

Schwachstelle

Contributor+ Path Traversal zu RCE

Gepatcht in Version

4.16.3

Schweregrad

Kritisch

WordPress-Plugin-Schwachstellen - kein bekannter Fix

Dieser Abschnitt enthält Plugin-Schwachstellen, für die keine Lösung bekannt ist. Bis ein Patch verfügbar ist, deinstalliere und lösche das Plugin sofort.

Pz-LinkCard

Plugin: Pz-LinkCard
Installationen: 30,000+
Schwachstelle: Reflektiertes Cross-Site Scripting
Gepatcht in Version: Kein Fix
Schweregrad: Hoch

WP Block and Stop Bad Bots

Plugin: Block Bad Bots and Stop Bad Bots Crawlers and Spiders and Anti Spam Protection
Schwachstelle: Unauthentifizierte SQLi
Gepatcht in Version: Kein Fix
Schweregrad: Hoch

Sermon Browser

Plugin: Predigt-Browser
Schwachstelle: Beliebiger Datei-Upload über CSRF
Gepatcht in Version: Kein Fix
Schweregrad: Mittel

Wöchentlicher Terminplan der Fakultät

Plugin: Wöchentlicher Terminplan der Fakultät
Schwachstelle: Offenlegung von Ordnern über veraltete jQueryFileTree-Bibliothek
Gepatcht in Version: Kein Fix
Schweregrad: Mittel

Offline lesen

Plugin: Offline lesen
Schwachstelle: Offenlegung von Ordnern über veraltete jQueryFileTree-Bibliothek
Gepatcht in Version: Kein Fix
Schweregrad: Mittel

OSMapper

Plugin: OSMapper
Schwachstelle: Unauthentifiziertes, willkürliches Löschen von Posts
Gepatcht in Version: Kein Fix
Schweregrad: Hoch

Bank Mellat

Plugin: Bank Mellat
Schwachstelle: Reflektiertes Cross-Site Scripting
Gepatcht in Version: Kein Fix
Schweregrad: Mittel

Bessere Suche TMC

Plugin: Bessere Suche TMC
Schwachstelle: Offenlegung von Ordnern über veraltete jQueryFileTree-Bibliothek
Gepatcht in Version: Kein Fix
Schweregrad: Mittel

Bulk Creator

Plugin: Bulk Creator
Schwachstelle: Reflektiertes Cross-Site Scripting
Gepatcht in Version: Kein Fix
Schweregrad: Mittel

Alte Bestellungen löschen

Plugin: Alte Bestellungen löschen
Schwachstelle: Reflektiertes Cross-Site Scripting
Gepatcht in Version: Kein Fix
Schweregrad: Mittel

Mapping Mehrere URLs leiten dieselbe Seite um

Plugin: Mapping mehrerer URLs, die auf dieselbe Seite umleiten
Schwachstelle: Reflektiertes Cross-Site Scripting
Gepatcht in Version: Kein Fix
Schweregrad: Mittel

Multiliste abonnieren für Sendy

Plugin: Multiliste abonnieren für Sendy
Schwachstelle: Subscriber+ Arbitrary Options Update
Gepatcht in Version: Kein Fix
Schweregrad: Hoch

Akismet Datenschutzrichtlinien

Plugin: Akismet Datenschutzrichtlinien
Schwachstelle: Reflektiertes Cross-Site Scripting
Gepatcht in Version: Kein Fix
Schweregrad: Mittel

Interaktive medizinische Zeichnung des menschlichen Körpers

Plugin: Interaktive medizinische Zeichnung des menschlichen Körpers
Schwachstelle: Admin+ Gespeichertes Cross-Site Scripting
Gepatcht in Version: Kein Fix
Schweregrad: Niedrig

dTabs

Plugin: dTabs
Schwachstelle: Reflektiertes Cross-Site Scripting
Gepatcht in Version: Kein Fix
Schweregrad: Mittel

Narnoo Verteiler

Plugin: Narnoo Verteiler
Schwachstelle: Unauthentifiziertes LFI zum Lesen beliebiger Dateien / RCE
Gepatcht in Version: Kein Fix
Schweregrad: Hoch

WooCommerce Produkt-Feed mit Google Shopping synchronisieren

Plugin: WooCommerce Produkt-Feed mit Google Shopping synchronisieren
Schwachstelle: Admin+ SQLi
Gepatcht in Version: Kein Fix
Schweregrad: Mittel

Datenbank Peek

Plugin: Datenbank Peek
Schwachstelle: Reflektiertes Cross-Site Scripting
Gepatcht in Version: Kein Fix
Schweregrad: Mittel

Wow Countdowns

Plugin: Wow Countdowns - einfach beliebige Countdowns, Zähler und Timer erstellen
Schwachstelle: Admin+ SQLi
Gepatcht in Version: Kein Fix
Schweregrad: Mittel

Weitere Updates für über 400 Plugins und Themes, die von der unsicheren Freemius-Version betroffen sind

Letzte Woche wurde entdeckt, dass viele Plugins und Themes eine unsichere Version des Freemius Frameworkdas verwendet wird, um die Upsell-Pfade von Free zu Pro zu unterstützen.

Zum Zeitpunkt dieses Berichts, sind über 400 Plugins und 25 Themes betroffen. Da die Liste so umfangreich ist, verlinken wir direkt auf die WPScan-Schwachstellenmeldung mit den neuesten Informationen zu den Patches.

Zu ergreifende Maßnahmen:

Aktualisiere alle deine Themes und Plugins auf die neuesten Versionen.
Achte darauf, dass du die automatischen Updates für deine Plugins und Themes aktivierst, da die Entwickler ständig neue Updates veröffentlichen.
Aktiviere die iThemes Security Site Scan Modul, um eine Benachrichtigung zu erhalten, wenn wir feststellen, dass du ein verwundbares Plugin oder Theme verwendest.
Einschalten Versionsverwaltung in iThemes Security, um das automatische Patchen von Sicherheitslücken zu ermöglichen.

WordPress Theme Sicherheitslücken

In diesem Abschnitt werden die neuesten Sicherheitslücken in WordPress-Themes aufgelistet. Zu jedem Theme werden die Art der Sicherheitslücke, die aktiven Installationen, die Versionsnummer (falls gepatcht) und der Schweregrad angegeben.

Gute Nachrichten! Diese Woche wurden keine neuen Sicherheitslücken in WordPress-Themes bekannt gegeben.

Wie du deine WordPress-Website vor anfälligen Plugins und Themes schützt

Wie du aus diesem Bericht ersehen kannst, werden jede Woche viele neue Sicherheitslücken in WordPress-Plugins und -Themes bekannt. Wir wissen, dass es schwierig sein kann, über jede gemeldete Sicherheitslücke auf dem Laufenden zu bleiben, deshalb haben wir iThemes Security Pro Plugin kannst du ganz einfach sicherstellen, dass auf deiner Website kein Theme, Plugin oder eine WordPress-Kernversion mit einer bekannten Sicherheitslücke verwendet wird.

Hol dir iThemes Security Pro mit 24/7 Website-Sicherheitsüberwachung

iThemes Security Pro, unser WordPress Sicherheits-Pluginbietet mehr als 50 Möglichkeiten, deine Website zu sichern und vor den üblichen WordPress-Sicherheitslücken zu schützen. Mit WordPress, der Zwei-Faktor-Authentifizierung, dem Brute-Force-Schutz, der Erzwingung von starken Passwörtern und mehr kannst du deiner Website zusätzliche Sicherheitsebenen hinzufügen.

iThemes Security Pro kaufen

Jede Woche stellt Michael Moore die WordPress Schwachstellenbericht um die Sicherheit deiner Websites zu gewährleisten. Als Produktmanager bei iThemes hilft er uns, die Produktpalette von iThemes weiter zu verbessern. Er ist ein großer Nerd und liebt es, alles über alte und neue Technologien zu lernen. Wenn er nicht arbeitet, trifft man Michael mit seiner Frau und seiner Tochter an, wo er liest oder Musik hört.

WordPress Schwachstellenbericht – 9. März 2022