WordPress-Schwachstellenbericht: April 2021, Teil 3
Veröffentlicht: 2021-04-22Anfällige Plugins und Themes sind der Hauptgrund, warum WordPress-Websites gehackt werden. Dieser Beitrag behandelt aktuelle WordPress-Plugin-, Theme- und Core-Schwachstellen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Themes auf Ihrer Website ausführen.
Das WordPress Vulnerability Roundup ist in drei verschiedene Kategorien unterteilt: WordPress-Kern, WordPress-Plugins und WordPress-Themes. Jede Schwachstelle hat eine Schweregradbewertung von Niedrig , Mittel , Hoch oder Kritisch . Die Schweregradbewertungen basieren auf dem Common Vulnerability Scoring System.
WordPress Core-Schwachstellen
WordPress 5.7.1 wurde am 15. April 2021 veröffentlicht. Diese Sicherheits- und Wartungsversion enthält 26 Fehlerkorrekturen zusätzlich zu zwei Sicherheitskorrekturen. Da dies eine Sicherheitsversion des WordPress-Kerns ist, wird empfohlen, dass Sie Ihre Websites sofort aktualisieren!
1. WordPress 5.6 – 5.7
Sicherheitslücke : Authentifiziertes XXE innerhalb der Medienbibliothek mit Auswirkungen auf PHP 8
Gepatcht in Version : 5.7
Schweregrad : Hoch – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
2. WordPress 4.7-5.7
Sicherheitslücke : Offenlegung von authentifizierten passwortgeschützten Seiten
Gepatcht in Version : 5.7
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Schwachstellen im WordPress-Plugin
1. Livemesh-Addons für Elementor

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
Gepatcht in Version : 6.8
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
2. HT Mega – Absolute Addons für Elementor

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
Gepatcht in Version : 1.5.7
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
3. WooLentor – WooCommerce Elementor Addons

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
Gepatcht in Version : 1.8.6
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
4. BuddyPress

Sicherheitslücke : Mehrere authentifizierte REST API-Sicherheitslücken
Gepatcht in Version : 7.3.0
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
5. PowerPack-Addons für Elementor

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
Gepatcht in Version : 2.3.2
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
6. Bild-Hover-Effekte – Elementor Addon

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
Gepatcht in Version : 1.3.4
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
7. Rife Elementor-Erweiterungen und -Vorlagen

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
Gepatcht in Version : 1.1.6
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
8. Die Plus-Addons für Elementor

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
Gepatcht in Version : 2.0.6
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
9. All-in-One-Addons für Elementor

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
Gepatcht in Version : 2.3.10
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
10. JetWidgets für Elementor

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
In Version gepatcht :
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
11. Sina-Erweiterung für Elementor

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
Gepatcht in Version : 3.3.12
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
12. Ultimative Addons für Elementor

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
Gepatcht in Version : 1.30.0
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

13. Fitness-Rechner

Sicherheitslücke : Cross-Site Request Forgery zu Cross-Site Scripting
Gepatcht in Version : 1.9.6
Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
14. Zugriffsmanager für Benutzerrechte

Sicherheitslücke : Unsachgemäße Zugriffskontrollen
Gepatcht in Version : 1.0.4
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L
15. Clevere Addons für Elementor

Sicherheitslücke : Gespeichertes Cross-Site-Scripting XSS
Gepatcht in Version : 2.1.0
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
16. Einfache digitale Downloads

Sicherheitslücke : Unbefugte Stripe-Trennung über CSRF
Gepatcht in Version : 2.10.3
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L
17. Edwiser-Brücke

Sicherheitslücke : CSRF Nonce Bypass
Gepatcht in Version : 2.0.7
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
18. WordPress-Download-Manager

Sicherheitslücke : Unerlaubte Download-Duplizierung
Gepatcht in Version : 3.1.18
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
19. Ultimative Karten von Supsystic

Sicherheitslücke : Reflektiertes Cross-Site-Scripting
Gepatcht in Version : 1.2.5
Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
20. Popup von Supsystic

Sicherheitslücke : Reflektiertes Cross-Site-Scripting
Gepatcht in Version : 1.10.5
Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
21. Fotogalerie von 10Web

Sicherheitslücke : Mehrfach reflektiertes Cross-Site-Scripting
Gepatcht in Version : 1.5.69
Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
22. Weiterleitung zum Kontaktformular 7

Sicherheitslücke : Nicht authentifizierte willkürliche Nonce-Generierung
Gepatcht in Version : 2.3.4
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Sicherheitslücke : Authentifizierte willkürliche Plugin-Installation
Gepatcht in Version : 2.3.4
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Sicherheitslücke : Authentifizierte PHP-Objektinjektion
Gepatcht in Version : 2.3.4
Schweregrad : Hoch – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Sicherheitslücke : Authentifizierte willkürliche Löschung von Posts
Gepatcht in Version : 2.3.4
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:L
Sicherheitslücke : Ungeschützte AJAX-Aktionen
Gepatcht in Version : 2.3.4
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L
Schwachstellen im WordPress-Theme
Ein WordPress-Sicherheits-Plugin kann helfen, Ihre Website zu schützen
iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet über 50 Möglichkeiten, Ihre Website zu sichern und vor gängigen WordPress-Sicherheitslücken zu schützen. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website eine zusätzliche Sicherheitsebene hinzufügen.
Jede Woche erstellt Michael den WordPress-Schwachstellenbericht, um die Sicherheit Ihrer Websites zu gewährleisten. Als Produktmanager bei iThemes hilft er uns, die Produktpalette von iThemes weiter zu verbessern. Er ist ein riesiger Nerd und liebt es, alles über Technik zu lernen, alt und neu. Sie können Michael mit seiner Frau und seiner Tochter treffen, lesen oder Musik hören, wenn er nicht arbeitet.
