WordPress-Schwachstellenbericht: April 2021, Teil 3

Veröffentlicht: 2021-04-22

Anfällige Plugins und Themes sind der Hauptgrund, warum WordPress-Websites gehackt werden. Dieser Beitrag behandelt aktuelle WordPress-Plugin-, Theme- und Core-Schwachstellen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Themes auf Ihrer Website ausführen.

Das WordPress Vulnerability Roundup ist in drei verschiedene Kategorien unterteilt: WordPress-Kern, WordPress-Plugins und WordPress-Themes. Jede Schwachstelle hat eine Schweregradbewertung von Niedrig , Mittel , Hoch oder Kritisch . Die Schweregradbewertungen basieren auf dem Common Vulnerability Scoring System.

Im April, Teil 3 Bericht

WordPress Core-Schwachstellen

WordPress 5.7.1 wurde am 15. April 2021 veröffentlicht. Diese Sicherheits- und Wartungsversion enthält 26 Fehlerkorrekturen zusätzlich zu zwei Sicherheitskorrekturen. Da dies eine Sicherheitsversion des WordPress-Kerns ist, wird empfohlen, dass Sie Ihre Websites sofort aktualisieren!

1. WordPress 5.6 – 5.7

Sicherheitslücke : Authentifiziertes XXE innerhalb der Medienbibliothek mit Auswirkungen auf PHP 8
Gepatcht in Version : 5.7
Schweregrad : Hoch – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Die Schwachstelle ist gepatcht, daher sollten Sie den WordPress-Kern auf 5.7.1+ aktualisieren.

2. WordPress 4.7-5.7

Sicherheitslücke : Offenlegung von authentifizierten passwortgeschützten Seiten
Gepatcht in Version : 5.7
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Die Schwachstelle ist gepatcht, daher sollten Sie den WordPress-Kern auf 5.7.1+ aktualisieren.

Schwachstellen im WordPress-Plugin

1. Livemesh-Addons für Elementor

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
Gepatcht in Version : 6.8
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 6.8+ aktualisieren.

2. HT Mega – Absolute Addons für Elementor

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
Gepatcht in Version : 1.5.7
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.5.7+ aktualisieren.

3. WooLentor – WooCommerce Elementor Addons

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
Gepatcht in Version : 1.8.6
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.8.6+ aktualisieren.

4. BuddyPress

Sicherheitslücke : Mehrere authentifizierte REST API-Sicherheitslücken
Gepatcht in Version : 7.3.0
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 7.3.0+ aktualisieren.

5. PowerPack-Addons für Elementor

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
Gepatcht in Version : 2.3.2
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 2.3.2+ aktualisieren.

6. Bild-Hover-Effekte – Elementor Addon

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
Gepatcht in Version : 1.3.4
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.3.4+ aktualisieren.

7. Rife Elementor-Erweiterungen und -Vorlagen

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
Gepatcht in Version : 1.1.6
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.1.6+ aktualisieren.

8. Die Plus-Addons für Elementor

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
Gepatcht in Version : 2.0.6
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 2.0.6+ aktualisieren.

9. All-in-One-Addons für Elementor

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
Gepatcht in Version : 2.3.10
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 2.3.10 aktualisieren.

10. JetWidgets für Elementor

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
In Version gepatcht :
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 6.8+ aktualisieren.

11. Sina-Erweiterung für Elementor

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
Gepatcht in Version : 3.3.12
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.3.12+ aktualisieren.

12. Ultimative Addons für Elementor

Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
Gepatcht in Version : 1.30.0
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.30.0+ aktualisieren.

13. Fitness-Rechner

Sicherheitslücke : Cross-Site Request Forgery zu Cross-Site Scripting
Gepatcht in Version : 1.9.6
Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.9.6+ aktualisieren.

14. Zugriffsmanager für Benutzerrechte

Sicherheitslücke : Unsachgemäße Zugriffskontrollen
Gepatcht in Version : 1.0.4
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.0.4+ aktualisieren.

15. Clevere Addons für Elementor

Sicherheitslücke : Gespeichertes Cross-Site-Scripting XSS
Gepatcht in Version : 2.1.0
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 2.1.0+ aktualisieren.

16. Einfache digitale Downloads

Sicherheitslücke : Unbefugte Stripe-Trennung über CSRF
Gepatcht in Version : 2.10.3
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 2.10.3+ aktualisieren.

17. Edwiser-Brücke

Sicherheitslücke : CSRF Nonce Bypass
Gepatcht in Version : 2.0.7
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 2.0.7+ aktualisieren.

18. WordPress-Download-Manager

Sicherheitslücke : Unerlaubte Download-Duplizierung
Gepatcht in Version : 3.1.18
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.1.18+ aktualisieren.

19. Ultimative Karten von Supsystic

Sicherheitslücke : Reflektiertes Cross-Site-Scripting
Gepatcht in Version : 1.2.5
Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.2.5+ aktualisieren.

20. Popup von Supsystic

Sicherheitslücke : Reflektiertes Cross-Site-Scripting
Gepatcht in Version : 1.10.5
Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.10.5+ aktualisieren.

21. Fotogalerie von 10Web

Sicherheitslücke : Mehrfach reflektiertes Cross-Site-Scripting
Gepatcht in Version : 1.5.69
Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.5.69+ aktualisieren.

22. Weiterleitung zum Kontaktformular 7

Sicherheitslücke : Nicht authentifizierte willkürliche Nonce-Generierung
Gepatcht in Version : 2.3.4
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Sicherheitslücke : Authentifizierte willkürliche Plugin-Installation
Gepatcht in Version : 2.3.4
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Sicherheitslücke : Authentifizierte PHP-Objektinjektion
Gepatcht in Version : 2.3.4
Schweregrad : Hoch – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Sicherheitslücke : Authentifizierte willkürliche Löschung von Posts
Gepatcht in Version : 2.3.4
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:L

Sicherheitslücke : Ungeschützte AJAX-Aktionen
Gepatcht in Version : 2.3.4
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L

Die Schwachstellen sind gepatcht, daher sollten Sie auf Version 2.3.4+ aktualisieren.

Schwachstellen im WordPress-Theme

Diese Woche wurden keine neuen Themen-Schwachstellen bekannt.

Ein WordPress-Sicherheits-Plugin kann helfen, Ihre Website zu schützen

iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet über 50 Möglichkeiten, Ihre Website zu sichern und vor gängigen WordPress-Sicherheitslücken zu schützen. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website eine zusätzliche Sicherheitsebene hinzufügen.

Michael Moore

Jede Woche erstellt Michael den WordPress-Schwachstellenbericht, um die Sicherheit Ihrer Websites zu gewährleisten. Als Produktmanager bei iThemes hilft er uns, die Produktpalette von iThemes weiter zu verbessern. Er ist ein riesiger Nerd und liebt es, alles über Technik zu lernen, alt und neu. Sie können Michael mit seiner Frau und seiner Tochter treffen, lesen oder Musik hören, wenn er nicht arbeitet.