WordPress-Schwachstellenbericht: April 2021, Teil 3

Veröffentlicht: 2021-04-22

Anfällige Plugins und Themes sind der Hauptgrund, warum WordPress-Websites gehackt werden. Dieser Beitrag behandelt aktuelle WordPress-Plugin-, Theme- und Core-Schwachstellen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Themes auf Ihrer Website ausführen.

Das WordPress Vulnerability Roundup ist in drei verschiedene Kategorien unterteilt: WordPress-Kern, WordPress-Plugins und WordPress-Themes. Jede Schwachstelle hat eine Schweregradbewertung von Niedrig , Mittel , Hoch oder Kritisch . Die Schweregradbewertungen basieren auf dem Common Vulnerability Scoring System.

Im April, Teil 3 Bericht

    WordPress Core-Schwachstellen

    WordPress 5.7.1 wurde am 15. April 2021 veröffentlicht. Diese Sicherheits- und Wartungsversion enthält 26 Fehlerkorrekturen zusätzlich zu zwei Sicherheitskorrekturen. Da dies eine Sicherheitsversion des WordPress-Kerns ist, wird empfohlen, dass Sie Ihre Websites sofort aktualisieren!

    1. WordPress 5.6 – 5.7

    Sicherheitslücke : Authentifiziertes XXE innerhalb der Medienbibliothek mit Auswirkungen auf PHP 8
    Gepatcht in Version : 5.7
    Schweregrad : Hoch – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

    Die Schwachstelle ist gepatcht, daher sollten Sie den WordPress-Kern auf 5.7.1+ aktualisieren.

    2. WordPress 4.7-5.7

    Sicherheitslücke : Offenlegung von authentifizierten passwortgeschützten Seiten
    Gepatcht in Version : 5.7
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

    Die Schwachstelle ist gepatcht, daher sollten Sie den WordPress-Kern auf 5.7.1+ aktualisieren.

    Schwachstellen im WordPress-Plugin

    1. Livemesh-Addons für Elementor

    Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
    Gepatcht in Version : 6.8
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 6.8+ aktualisieren.

    2. HT Mega – Absolute Addons für Elementor

    Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
    Gepatcht in Version : 1.5.7
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.5.7+ aktualisieren.

    3. WooLentor – WooCommerce Elementor Addons

    Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
    Gepatcht in Version : 1.8.6
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.8.6+ aktualisieren.

    4. BuddyPress

    Sicherheitslücke : Mehrere authentifizierte REST API-Sicherheitslücken
    Gepatcht in Version : 7.3.0
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 7.3.0+ aktualisieren.

    5. PowerPack-Addons für Elementor

    Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
    Gepatcht in Version : 2.3.2
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 2.3.2+ aktualisieren.

    6. Bild-Hover-Effekte – Elementor Addon

    Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
    Gepatcht in Version : 1.3.4
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.3.4+ aktualisieren.

    7. Rife Elementor-Erweiterungen und -Vorlagen

    Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
    Gepatcht in Version : 1.1.6
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.1.6+ aktualisieren.

    8. Die Plus-Addons für Elementor

    Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
    Gepatcht in Version : 2.0.6
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 2.0.6+ aktualisieren.

    9. All-in-One-Addons für Elementor

    Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
    Gepatcht in Version : 2.3.10
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 2.3.10 aktualisieren.

    10. JetWidgets für Elementor

    Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
    In Version gepatcht :
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 6.8+ aktualisieren.

    11. Sina-Erweiterung für Elementor

    Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
    Gepatcht in Version : 3.3.12
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.3.12+ aktualisieren.

    12. Ultimative Addons für Elementor

    Ultimatives Addon Elementor Logo

    Sicherheitslücke : Gespeichertes Cross-Site-Scripting (XSS)
    Gepatcht in Version : 1.30.0
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.30.0+ aktualisieren.

    13. Fitness-Rechner

    Sicherheitslücke : Cross-Site Request Forgery zu Cross-Site Scripting
    Gepatcht in Version : 1.9.6
    Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.9.6+ aktualisieren.

    14. Zugriffsmanager für Benutzerrechte

    Sicherheitslücke : Unsachgemäße Zugriffskontrollen
    Gepatcht in Version : 1.0.4
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.0.4+ aktualisieren.

    15. Clevere Addons für Elementor

    Sicherheitslücke : Gespeichertes Cross-Site-Scripting XSS
    Gepatcht in Version : 2.1.0
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 2.1.0+ aktualisieren.

    16. Einfache digitale Downloads

    Logo für einfache digitale Downloads

    Sicherheitslücke : Unbefugte Stripe-Trennung über CSRF
    Gepatcht in Version : 2.10.3
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 2.10.3+ aktualisieren.

    17. Edwiser-Brücke

    Sicherheitslücke : CSRF Nonce Bypass
    Gepatcht in Version : 2.0.7
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 2.0.7+ aktualisieren.

    18. WordPress-Download-Manager

    WordPress Download Manager-Logo

    Sicherheitslücke : Unerlaubte Download-Duplizierung
    Gepatcht in Version : 3.1.18
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.1.18+ aktualisieren.

    19. Ultimative Karten von Supsystic

    Sicherheitslücke : Reflektiertes Cross-Site-Scripting
    Gepatcht in Version : 1.2.5
    Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.2.5+ aktualisieren.

    20. Popup von Supsystic

    Sicherheitslücke : Reflektiertes Cross-Site-Scripting
    Gepatcht in Version : 1.10.5
    Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.10.5+ aktualisieren.

    21. Fotogalerie von 10Web

    Fotogalerie von 10Web Logo

    Sicherheitslücke : Mehrfach reflektiertes Cross-Site-Scripting
    Gepatcht in Version : 1.5.69
    Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.5.69+ aktualisieren.

    22. Weiterleitung zum Kontaktformular 7

    Sicherheitslücke : Nicht authentifizierte willkürliche Nonce-Generierung
    Gepatcht in Version : 2.3.4
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

    Sicherheitslücke : Authentifizierte willkürliche Plugin-Installation
    Gepatcht in Version : 2.3.4
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

    Sicherheitslücke : Authentifizierte PHP-Objektinjektion
    Gepatcht in Version : 2.3.4
    Schweregrad : Hoch – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

    Sicherheitslücke : Authentifizierte willkürliche Löschung von Posts
    Gepatcht in Version : 2.3.4
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:L

    Sicherheitslücke : Ungeschützte AJAX-Aktionen
    Gepatcht in Version : 2.3.4
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L

    Die Schwachstellen sind gepatcht, daher sollten Sie auf Version 2.3.4+ aktualisieren.

    Schwachstellen im WordPress-Theme

    Diese Woche wurden keine neuen Themen-Schwachstellen bekannt.

    Ein WordPress-Sicherheits-Plugin kann helfen, Ihre Website zu schützen

    iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet über 50 Möglichkeiten, Ihre Website zu sichern und vor gängigen WordPress-Sicherheitslücken zu schützen. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website eine zusätzliche Sicherheitsebene hinzufügen.

    WordPress-Schwachstellenbericht