WordPress Schwachstellenbericht – 9. März 2022

9. März 2022

Geschrieben von auf

Zuletzt aktualisiert am 9. März 2022

Anfällige Plugins und Themes sind der Hauptgrund dafür, dass WordPress-Websites gehackt werden. Der wöchentliche WordPress-Schwachstellenbericht powered by WPScan behandelt aktuelle WordPress-Plugin-, Theme- und Core-Schwachstellen und was zu tun ist, wenn du eines der anfälligen Plugins oder Themes auf deiner Website einsetzt.

Jede Sicherheitslücke wird mit einem Schweregrad von Niedrig, Medium, Hoch, oder Kritisch. Die verantwortungsvolle Offenlegung und Meldung von Sicherheitslücken ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community. Bitte teile diesen Beitrag mit deinen Freunden, um die Nachricht zu verbreiten und WordPress für alle sicherer zu machen.!

WordPress Core Sicherheitslücken

WordPress 5.9.1 wurde am 22. Februar 2022 als Wartungsupdate mit 33 Fehlerbehebungen veröffentlicht. Stelle sicher, dass du so schnell wie möglich auf WordPress 5.9.1 aktualisierst!

  • Diese Woche wurden keine neuen Sicherheitslücken im WordPress-Kern veröffentlicht.

WordPress Plugin Sicherheitslücken

In diesem Abschnitt werden die neuesten Sicherheitslücken in WordPress-Plugins aufgeführt. Zu jedem Plugin werden die Art der Schwachstelle, die aktiven Installationen, die Versionsnummer (falls gepatcht) und der Schweregrad angegeben.

MC4WP

Produktbild für MC4WP: Mailchimp für WordPress.

Plugin
MC4WP: Mailchimp für WordPress

Installationen
2,000,000+

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
4.8.7

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 4.8.7 aktualisieren.

WordPress mit GTranslate übersetzen

Produktbild zu Übersetze WordPress mit GTranslate.

Plugin
WordPress übersetzen mit GTranslate

Installationen
300,000+

Schwachstelle
CSRF zur Kontoübernahme

Gepatcht in Version
2.9.9

Schweregrad
Hoch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.9.9 aktualisieren.

Popup Builder

Produktbild zu Popup Builder - Erstelle hoch konvertierende, mobilfreundliche Marketing-Popups...

Plugin
Popup Builder - Erstelle hoch konvertierende, mobilfreundliche Marketing-Popups.

Installationen
200,000+

Schwachstelle
SQL Injection zu Reflected Cross-Site Scripting

Gepatcht in Version
4.1.1

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 4.1.1 aktualisieren.

String Locator

Produktbild zu String locator.

Plugin
String locator

Installationen
100,000+

Schwachstelle
Admin+ Beliebiges Lesen von Dateien

Gepatcht in Version
2.5.0

Schweregrad
Niedrig

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.5.0 aktualisieren.

Menübild, Icons leicht gemacht

Produktbild zu Menu Image, Icons leicht gemacht.

Plugin
Menübild, Icons leicht gemacht

Installationen
100,000+

Schwachstelle
Subscriber+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
3.0.8

Schweregrad
Hoch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.0.8 aktualisieren.

Amelia

Produktbild zu Amelia - Events & Appointments Booking Calendar.

Plugin
Amelia - Events & Termine Buchungskalender

Installationen
40,000+

Schwachstelle
Unauthentifizierter Stored XSS über lastName; Customer+ Arbitrary Appointments Update und Offenlegung sensibler Daten

Gepatcht in Version
1.0.47

Schweregrad
Hoch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.0.47 aktualisieren.

Mehrere Dateien per Drag & Drop hochladen - Kontakt-Formular 7

Produktbild zu Drag and Drop Multiple File Upload - Contact Form 7.

Plugin
Mehrere Dateien per Drag & Drop hochladen - Kontakt-Formular 7

Installationen
40,000+

Schwachstelle
Unauthentifizierter Stored XSS

Gepatcht in Version
1.3.6.3

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.3.6.3 aktualisieren.

WordPress Datei-Upload

Produktbild für WordPress File Upload.

Plugin
WordPress Datei Upload

Installationen
30,000+

Schwachstelle
Contributor+ Path Traversal zu RCE

Gepatcht in Version
4.16.3

Schweregrad
Kritisch

Die Schwachstelle wurde gepatcht, du solltest also auf Version 4.16.3 aktualisieren.

WPC Smart Wishlist für WooCommerce

Produktbild zu WPC Smart Wishlist for WooCommerce.

Plugin
WPC Smart Wishlist für WooCommerce

Installationen
30,000+

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
2.9.4

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.9.4 aktualisieren.

SpeakOut! E-Mail-Petitionen

Plugin
SpeakOut! E-Mail-Petitionen

Installationen
5,000+

Schwachstelle
Unauthentifizierte SQLi

Gepatcht in Version
2.14.15.1

Schweregrad
Hoch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.14.15.1 aktualisieren.

Kirche Admin

Produktbild zu Church Admin.

Plugin
Kirchenverwaltung

Installationen
1,000+

Schwachstelle
Offenlegung des Backups eines nicht authentifizierten Plugins

Gepatcht in Version
3.4.135

Schweregrad
Hoch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.4.135 aktualisieren.

Coupon Affiliates

Produktbild zu WooCommerce Affiliate Plugin - Coupon Affiliates.

Plugin
WooCommerce Affiliate Plugin - Coupon Affiliates

Installationen
1,000+

Schwachstelle
Unauthentifizierter Stored XSS

Gepatcht in Version
4.16.4.5

Schweregrad
Hoch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 4.16.4.5 aktualisieren.

Revisionsmanager TMC

Produktbild für Revision Manager TMC.

Plugin
Revisionsmanager TMC

Installationen
1,000+

Schwachstelle
Offenlegung von Ordnern über veraltete jQueryFileTree-Bibliothek

Gepatcht in Version
2.8.0

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.8.0 aktualisieren.

Titel Experimente Frei

Produktbild zu Title Experiments Free.

Plugin
Titel Experimente Frei

Installationen
800+

Schwachstelle
Unauthentifizierte SQLi

Gepatcht in Version
9.0.1

Schweregrad
Hoch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 9.0.1 aktualisieren.

Task Scheduler

Produktbild für Task Scheduler.

Plugin
Task Scheduler

Installationen
500+

Schwachstelle
Offenlegung von Ordnern über veraltete jQueryFileTree-Bibliothek

Gepatcht in Version
1.6.1

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.6.1 aktualisieren.

Login-Versuche begrenzen (Spam-Schutz)

Produktbild zu Limit Login Attempts (Spam Protection).

Plugin
Login-Versuche begrenzen (Spam-Schutz)

Installationen
300+

Schwachstelle
Unauthentifizierte SQLi

Gepatcht in Version
5.1

Schweregrad
Hoch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 5.1 aktualisieren.

Popup-Like-Box

Produktbild zu Popup Like box - Page Plugin.

Plugin
Popup-Like-Box - Seiten-Plugin

Installationen
300+

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
3.6.1

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.6.1 aktualisieren.

Admin Page Framework

Produktbild für Admin Page Framework.

Plugin
Admin Page Framework

Installationen
200+

Schwachstelle
Offenlegung von Ordnern über veraltete jQueryFileTree-Bibliothek

Gepatcht in Version
3.9.0

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 3.9.0 aktualisieren.

Konferenzplaner

Plugin
Konferenzplaner

Installationen
200+

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
2.4.3

Schweregrad
Mittel

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 2.4.3 aktualisieren.

Plezi

Produktbild zu Plezi.

Plugin
Plezi

Installationen
100+

Schwachstelle
Unauthentifizierter Stored XSS

Gepatcht in Version
1.0.3

Schweregrad
Hoch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 1.0.3 aktualisieren.

WordPress Datei-Upload

Plugin

Schwachstelle
Contributor+ Path Traversal zu RCE

Gepatcht in Version
4.16.3

Schweregrad
Kritisch

Die Sicherheitslücke wurde gepatcht, du solltest also auf Version 4.16.3 aktualisieren.

WordPress-Plugin-Schwachstellen - kein bekannter Fix

Dieser Abschnitt enthält Plugin-Schwachstellen, für die keine Lösung bekannt ist. Bis ein Patch verfügbar ist, deinstalliere und lösche das Plugin sofort.

Pz-LinkCard

Plugin
Pz-LinkCard

Installationen
30,000+

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Hoch

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

WP Block and Stop Bad Bots

Plugin
Block Bad Bots and Stop Bad Bots Crawlers and Spiders and Anti Spam Protection

Schwachstelle
Unauthentifizierte SQLi

Gepatcht in Version
Kein Fix

Schweregrad
Hoch

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Sermon Browser

Plugin
Predigt-Browser

Schwachstelle
Beliebiger Datei-Upload über CSRF

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Wöchentlicher Terminplan der Fakultät

Plugin
Wöchentlicher Terminplan der Fakultät

Schwachstelle
Offenlegung von Ordnern über veraltete jQueryFileTree-Bibliothek

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Offline lesen

Plugin
Offline lesen

Schwachstelle
Offenlegung von Ordnern über veraltete jQueryFileTree-Bibliothek

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

OSMapper

Plugin
OSMapper

Schwachstelle
Unauthentifiziertes, willkürliches Löschen von Posts

Gepatcht in Version
Kein Fix

Schweregrad
Hoch

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Bank Mellat

Plugin
Bank Mellat

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Bessere Suche TMC

Plugin
Bessere Suche TMC

Schwachstelle
Offenlegung von Ordnern über veraltete jQueryFileTree-Bibliothek

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Bulk Creator

Plugin
Bulk Creator

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Alte Bestellungen löschen

Plugin
Alte Bestellungen löschen

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Mapping Mehrere URLs leiten dieselbe Seite um

Plugin
Mapping mehrerer URLs, die auf dieselbe Seite umleiten

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Multiliste abonnieren für Sendy

Plugin
Multiliste abonnieren für Sendy

Schwachstelle
Subscriber+ Arbitrary Options Update

Gepatcht in Version
Kein Fix

Schweregrad
Hoch

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Akismet Datenschutzrichtlinien

Plugin
Akismet Datenschutzrichtlinien

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Interaktive medizinische Zeichnung des menschlichen Körpers

Plugin
Interaktive medizinische Zeichnung des menschlichen Körpers

Schwachstelle
Admin+ Gespeichertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Niedrig

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

dTabs

Plugin
dTabs

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Narnoo Verteiler

Plugin
Narnoo Verteiler

Schwachstelle
Unauthentifiziertes LFI zum Lesen beliebiger Dateien / RCE

Gepatcht in Version
Kein Fix

Schweregrad
Hoch

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

WooCommerce Produkt-Feed mit Google Shopping synchronisieren

Plugin
WooCommerce Produkt-Feed mit Google Shopping synchronisieren

Schwachstelle
Admin+ SQLi

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Datenbank Peek

Plugin
Datenbank Peek

Schwachstelle
Reflektiertes Cross-Site Scripting

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Wow Countdowns

Plugin
Wow Countdowns - einfach beliebige Countdowns, Zähler und Timer erstellen

Schwachstelle
Admin+ SQLi

Gepatcht in Version
Kein Fix

Schweregrad
Mittel

Die Sicherheitslücke wurde noch nicht gepatcht. Du solltest das Plugin deaktivieren.

Weitere Updates für über 400 Plugins und Themes, die von der unsicheren Freemius-Version betroffen sind

Letzte Woche wurde entdeckt, dass viele Plugins und Themes eine unsichere Version des Freemius Frameworkdas verwendet wird, um die Upsell-Pfade von Free zu Pro zu unterstützen.

Zum Zeitpunkt dieses Berichts, sind über 400 Plugins und 25 Themes betroffen. Da die Liste so umfangreich ist, verlinken wir direkt auf die WPScan-Schwachstellenmeldung mit den neuesten Informationen zu den Patches.

Zu ergreifende Maßnahmen:

  • Aktualisiere alle deine Themes und Plugins auf die neuesten Versionen.
  • Achte darauf, dass du die automatischen Updates für deine Plugins und Themes aktivierst, da die Entwickler ständig neue Updates veröffentlichen.
  • Aktiviere die iThemes Security Site Scan Modul, um eine Benachrichtigung zu erhalten, wenn wir feststellen, dass du ein verwundbares Plugin oder Theme verwendest.
  • Einschalten Versionsverwaltung in iThemes Security, um das automatische Patchen von Sicherheitslücken zu ermöglichen.

WordPress Theme Sicherheitslücken

In diesem Abschnitt werden die neuesten Sicherheitslücken in WordPress-Themes aufgelistet. Zu jedem Theme werden die Art der Sicherheitslücke, die aktiven Installationen, die Versionsnummer (falls gepatcht) und der Schweregrad angegeben.

  • Gute Nachrichten! Diese Woche wurden keine neuen Sicherheitslücken in WordPress-Themes bekannt gegeben.

Wie du deine WordPress-Website vor anfälligen Plugins und Themes schützt

Wie du aus diesem Bericht ersehen kannst, werden jede Woche viele neue Sicherheitslücken in WordPress-Plugins und -Themes bekannt. Wir wissen, dass es schwierig sein kann, über jede gemeldete Sicherheitslücke auf dem Laufenden zu bleiben, deshalb haben wir iThemes Security Pro Plugin kannst du ganz einfach sicherstellen, dass auf deiner Website kein Theme, Plugin oder eine WordPress-Kernversion mit einer bekannten Sicherheitslücke verwendet wird.

Hol dir iThemes Security Pro mit 24/7 Website-Sicherheitsüberwachung

iThemes Security Pro, unser WordPress Sicherheits-Pluginbietet mehr als 50 Möglichkeiten, deine Website zu sichern und vor den üblichen WordPress-Sicherheitslücken zu schützen. Mit WordPress, der Zwei-Faktor-Authentifizierung, dem Brute-Force-Schutz, der Erzwingung von starken Passwörtern und mehr kannst du deiner Website zusätzliche Sicherheitsebenen hinzufügen.

iThemes Security Pro kaufen

Quelle


Dieser Artikel ist im Original von ithemes.com und wurde übersetzt
https://ithemes.com/blog/wordpress-vulnerability-report-march-9-2022/

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung