WordPress-Schwachstellen-News, November 2021

Veröffentlicht: 2020-11-06

Nachrichten zu WordPress-Sicherheitslücken im November
WordPress-Schwachstelle bedeutet Schwäche von WordPress. In diesem Beitrag zu WordPress-Sicherheitslücken im November konzentrieren wir uns auf WordPress-anfällige Plugins und WordPress-Sicherheitsprobleme, die im Oktober 2020 und November 2020 entdeckt wurden.

Der wichtigste und wichtigste Teil der Sicherheit besteht darin, über Sicherheitslücken in CMS wie WordPress und anderen auf dem Laufenden zu bleiben.

Aus diesem Grund haben wir die anfälligen Plugins und die zuletzt aufgedeckte Schwachstelle analysiert, um sicherzustellen, dass Ihre Website reibungslos läuft, indem wir solche ungeschützten Plugins und Updates für WordPress nicht verwenden.

Ihre Website ist vor allen Sicherheitsproblemen und Schwachstellen geschützt, wenn Sie die Web Application Firewall von WebARX verwenden. Die beste alternative Methode, um Ihre Website sicher zu machen, besteht jedoch darin, die ungeschützten Plugins auf Ihren Websites zu entfernen oder zu aktualisieren.

WordPress Vulnerability News, Oktober 2020

Wordpress + Microsoft Office 365

Wordpress + Microsoft Office 365

Um auf Ihre WordPress-Website zuzugreifen, können sich Benutzer mit ihrem Schul- oder Firmenkonto mit WPO365|LOGIN anmelden. Passwort und kein Benutzername erforderlich. Außerdem können Sie E-Mails mit Hilfe von Microsoft Graph senden, anstatt SMTP von Ihrer Website zu verwenden.

Schwachstelle: Umgehung der JWT-Signaturüberprüfung
Behoben in Version: 11.7
Insgesamt betroffene Websites: 1000+

Dieses Plugin verifiziert keine JWT-Signaturen, erlaubt keine Autorisierungsprüfungen, umgeht Authentifizierungen und erlaubt Angreifern, Token zu bilden.

Slider von 10Web

Slider von 10Web

Slider von 10Web ist eine alternative Methode zum Hinzufügen von reaktionsschnellen, schnell ladenden und SEO-freundlichen Slidern zu Ihrem Theme-Header, den Posts und Seiten Ihrer Website oder jedem anderen Ort.

Dieses Plugin ist mit Videos und Bildern kompatibel und ermöglicht das Hinzufügen beider Inhalte zu Folien. Sie können ganz einfach verschiedene Übergangseffekte hinzufügen.

Schwachstelle: Mehrfach authentifizierte SQL-Injection
Behoben in Version: 1.2.36
Insgesamt betroffene Websites: 50 000+

Die beiden anfälligen Funktionalitäten dieses Plugins sind save_slider_db und bulk_action, export_full. Diese beiden Funktionen erlauben autorisierten Benutzern oder Administratoren oder Medien wie Contributor+ 'Rollenoption', vorausgesetzt, der andere Benutzer ist eingeschaltet, um einen Angriff auszuführen, der als SQL-Injections bekannt ist.

Das Erklärungsdatum von PoC war der 13. Oktober 2020, der den Benutzern von Zeit zu Zeit Aktualisierungen bietet.

WP-Kurse

WP-Kurse LMS

WP Courses ist ein kostenloses WordPress-Plugin, das für LMS verwendet werden kann, um Kurse auf Ihrer Website mit Drag-and-Drop-Tools, einer intuitiven Benutzeroberfläche, Video-Tutorials und mehr zu verwalten und zu erstellen. Dieses Plugin hat mehr als 900+ aktive Installationen.

Dieses Plugin kann mit jeder anderen Vorlage hinzugefügt werden, da es nahtlos funktioniert. Es kommt auch mit so vielen Optionen, die Ihnen helfen werden, Ihre Vision und Ihr Website-Design anzupassen. Dieses Plugin ist einfach zu navigieren, da es keine Programmierung oder technische Kenntnisse erfordert.

Schwachstelle: Führt zur Offenlegung von Kursinhalten aufgrund defekter Zugriffskontrollen
Behoben in Version: 2.0.29
Insgesamt betroffene Websites: 20.000+

Durch die WordPress-REST-API kann das Problem in WP-Kursen Ihre Kurse für alle verfügbar machen.

Einfach: Drücken

Einfache Presse

Zu Ihrer WordPress-Website gehört die Simple:Press Forum-Software. Mit einigen zusätzlichen Funktionen können Sie Ihr Forum ganz einfach starten. Es ist in das Sicherheitsmodell und das Benutzermodell von WordPress integriert und kann auf Tausende von Benutzern erhöht werden.

Im Gegensatz zu anderen Foren-Plugins werden die Funktionen dieses Plugins von den Organisationen erstellt und unterstützt. Die Option ist zum Entfernen oder Deinstallieren verfügbar, integriert in WordPress-Anmeldungen und -Registrierungen, integriert in Plugins für Mitgliederabonnements und mehr.

Schwachstelle: Führt zu RCE aufgrund einer defekten Zugriffskontrolle
Behoben in Version: 6.6.1
Insgesamt betroffene Websites: 600+

Das Problem mit der defekten Zugriffskontrolle im Plug-in „Simple: Press“ wurde behoben, das die Version 6.6.0 und darunter betraf.

XCloner-Plugin

XCloner-Plugin

Dieses Plugin hilft Ihnen bei der Wiederherstellung und Sicherung Ihrer WordPress-Website.

Schwachstelle: Cross-Site-Request-Fälschung
Behoben in Version: 4.2.13
Insgesamt betroffene Websites: 30.000+

Website-Backups können an Google Drive, SFTP, Amazon, Dropbox, Backblaze und einige andere Orte gesendet werden. Automatisch oder manuell können Sie Backups mit einem Zeitplaner erstellen, der in XCloner integriert ist.

Verschiedene Sicherheitsfunktionen werden von XCloner bereitgestellt, z. B. erstellt XCloner Sicherungskopien von Themen, Kernen, Plugins und Sprachdateien kurz vor den automatischen Updates, Themen, Plugins oder Sprachdateien des WordPress-Kerns. Personen, die nach einer sicheren Website und Privatsphäre suchen, sollten sich für XCloner entscheiden.

Upload mehrerer Dateien per Drag-and-Drop – Kontaktformular 7

Hochladen mehrerer Dateien per Drag-and-Drop

Dieses Plugin ist eine einfach zu bedienende und unkomplizierte Erweiterung speziell für das Kontaktformular 7. Dieses Plugin ermöglicht es Benutzern, verschiedene Dateien mit Hilfe von Drag-and-Drop-Funktionen hinzuzufügen. Man kann auch eine gemeinsame Browse-Datei des Webformulars hinzufügen.

Die Funktionen dieses Plugins sind auf die Anzahl der hochgeladenen Dateien beschränkt, beschränken die Dateigröße für jedes Feld, reagieren auf Mobilgeräte, unterstützen jeden Browser, unterstützen mehrere Sprachen, coole Fortschrittsanzeige, Drag-and-Drop-Funktion, Dateigrößenvalidierung, Dateitypvalidierung, und so weiter.

Schwachstelle: Nicht verifizierte Remote-Code-Ausführung
Behoben in Version: 1.3.5.5
Insgesamt betroffene Websites: 20.000+

Dieses Tool nutzt die schwarze Liste gefährlicher Dateierweiterungen, die Ihnen das Hochladen nicht erlaubt. Die Erweiterungen .phpt und .phar standen jedoch nicht auf der Blacklist, die nicht zum Hinzufügen von beliebigem PHP-Code verwendet werden kann.

Einige mehr als 25 WordPress-Plugins wurden mit Schwachstellen für CSRF-Angriffe entdeckt, einige davon sind es

  • Bezahlte Mitgliedschaft Pro
  • Gutschein-Ersteller
  • Funner-Bauherren
  • Optionsfelder für Taxonomien
  • Coole Zeitleiste
  • Einfache Zeugnisse
  • Dokan
  • RSS-Aggregator von Feedly
  • WP-Hotelbuchung
  • WP-Projektmanager und viele mehr.

Verwandter Beitrag:Die besten fehlerfreien WordPress-Themes für Projekte zur Auswahl für Ihre nächste Website

WordPress-Schwachstellen-News, November 2020

DSGVO CCPA-Compliance-Unterstützung

DSGVO CCPA-Compliance-Unterstützung

Es ist auch als Ninja GDPR-Compliance-Plugin für WordPress-Benutzer bekannt.

Schwachstelle: inoffizielle Injektion auf PHP-Objekt
Behoben in Version: 2.4
Insgesamt betroffene Websites: 1000+

Das Plug-in zur Unterstützung der GDPR-CCPA-Compliance hat mehr als 1000 aktive Installationen. Es hat eine unsichere Schwachstelle bei der Deserialisierung behoben, die sich auf Version 2.1 und niedriger auswirkt und zu einer inoffiziellen PHP-Objektinjektion führen könnte. Am 17. November 2020. Der PoC wird angezeigt, um Benutzer mit allen Informationen zu aktualisieren.

Welcart E-Commerce

Welcart E-Commerce

WelCart kann kostenlos verwendet werden. Es hat mehr als 20.000 aktive Installationen und ist in 3 verschiedenen Sprachen verfügbar, dh Englisch (US), Japanisch und Vietnamesisch. Am 9. Oktober 2020 wurde die Schwachstelle in diesem Plugin entdeckt.

Schwachstelle: Inoffizielle Injektion auf PHP-Objekt
Behoben in Version: 1.9.36
Insgesamt betroffene Websites: 20.000+

WordPress-Benutzer können das Welcart-Plugin verwenden, um eine Shopping-Website mit einem anderen Kundenkontobereich zu erstellen. Es verwendet nicht das gleiche Cookie, das von WordPress verwendet wird. Es verwendet seine eigenen.

Dies hilft Ihnen, Benutzersitzungen zu verfolgen. Mit diesem Plugin können Sie jede Art von Produkten verkaufen, einschließlich abonnementbasierter Produkte, digitaler Produkte sowie physischer Produkte. Die Anzahl der Artikelfotos, Produkte und Kategorien ist unbegrenzt.

AccessPress Soziale Symbole

AccessPress Social-Share-Plugin

Sie können direkt von der Website aus verschiedene soziale Symbole erstellen und einen Link zu Ihren gültigen Social-Media-Konten hinzufügen. Es hat mehr als 40.000+ aktive Installationen und unterstützt WordPress Version 4.5 und höher.

Schwachstelle: Authentifizierte SQL-Injection
Behoben in Version: 1.8.1
Insgesamt betroffene Websites: 40 000+

Sein Widget-Attribut wurde von diesem Plugin nicht desinfiziert, es erlaubt Konten mit Post-Berechtigung, z. B. Autor, SQL-Injektionen auszuführen.

Sehr einfach kann auch eine technisch nicht versierte Person auf soziale Profile auf der Website verlinken. Sie können die Symbole wunderbar selbst erstellen und personalisieren. Es werden 12 verschiedene gestaltete Sets bereitgestellt, die zur Auswahl von Symbolen verwendet werden können.

Die Hauptmerkmale dieses Plugins sind einfache Integration, Tooltipps, mehr Stile, Live-Vorschau in Echtzeit, reaktionsschnell, interaktiv, eigene Layouts und mehr.

WordPress

Die WordPress-Version 5.5.2 wurde am 29. Oktober 2020 veröffentlicht. Diese Version wurde eingeführt, um die von WordPress Version 5.5 betroffenen Probleme zu beheben, einschließlich der reflektierten XSS-Schwachstelle. Außerdem wurden einige Probleme mit Regressionen behoben, die in Version 5.5 entdeckt wurden

Schwachstelle: Reflektiertes XSS
Behoben in Version: 5.5.2
Gesamtzahl betroffener Websites: N/A

Auf jedem WordPress-Benutzerkonto und jeder Website des Benutzers ist dieses Problem anfällig. Der Angreifer könnte einen ahnungslosen Benutzer dazu verleiten, auf einen infizierten Link zu klicken oder die mit Sprengfallen versehene Website zu besuchen. Das Ausmaß der Viktimisierung für dieses Problem ist mittel, da es einer Art Social Engineering bedarf.

SW Ajax WooCommerce-Suche

Ajax-Suche für WooCommerce

SW Ajax WooCommerce Search ist ein WordPress-Plugin für WooCommerce, das über eine Ajax-Suchfunktion verfügt.

Schwachstelle: Inoffiziell reflektiertes XFS & XSS
Behoben in Version: 1.2.8
Gesamtzahl betroffener Websites: N/A

Fazit:
Neuigkeiten zu WordPress-Sicherheitslücken im November – Jeden Tag werden zahlreiche WordPress-Websites infiziert und gehackt. Einige Zahlen zeigen, dass mehr als 30.000 Websites täglich von verschiedenen Arten von Malware betroffen sind.

Jede offene Website im Internet ist eine Ressource, die für alle verfügbar ist, und dies ist der Hauptgrund, warum die meisten Websites gezielt angegriffen werden.

Es ist wichtig zu wissen, dass sobald Sie Ihr Geschäft online führen, es öffentlich zugänglich wird. So wird es leicht zielgerichtet.

Um das Hinzufügen anfälliger Plugins auf Ihrer Website zu vermeiden, ist es wichtig, Ihre Plugins und Websites auf dem neuesten Stand zu halten. Sie können automatische Updates aktivieren, wenn dies möglich ist.

Wenn Sie die oben genannten Plugins verwenden, ist es höchste Zeit, sie mit einer neuen Version zu aktualisieren, da sonst Ihre Website stark beeinträchtigt wird.