WordPress-Schwachstellenbericht: April 2021, Teil 4

Veröffentlicht: 2021-04-28

Anfällige Plugins und Themes sind der Hauptgrund, warum WordPress-Websites gehackt werden. Dieser Bericht befasst sich mit aktuellen WordPress-Plugin-, Theme- und Core-Schwachstellen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Themes auf Ihrer Website ausführen.

Das WordPress Vulnerability Roundup ist in drei verschiedene Kategorien unterteilt: WordPress-Kern, WordPress-Plugins und WordPress-Themes. Jede Schwachstelle hat eine Schweregradbewertung von Niedrig , Mittel , Hoch oder Kritisch . Die Schweregradbewertungen basieren auf dem Common Vulnerability Scoring System.

Im April, Teil 4 Bericht
    Holen Sie sich den iThemes Security WordPress Vulnerability Report in Ihren Posteingang
    Melden Sie sich für den Bericht an

    WordPress Core-Schwachstellen

    WordPress 5.7.1 wurde am 15. April 2021 veröffentlicht. Diese Sicherheits- und Wartungsversion enthält 26 Fehlerkorrekturen zusätzlich zu zwei Sicherheitskorrekturen. Da dies eine Sicherheitsversion des WordPress-Kerns ist, wird empfohlen, dass Sie Ihre Websites sofort aktualisieren!

    Schwachstellen im WordPress-Plugin

    1. Akkordeon

    Sicherheitslücke : Authentifiziertes Reflected Cross-Site Scripting
    Gepatcht in Version : 2.2.30
    Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 2.2.30+ aktualisieren.

    2. RSS für Yandex Turbo

    Sicherheitslücke : Authentifiziertes gespeichertes Cross-Site-Scripting
    Gepatcht in Version : 1.30
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.30+ aktualisieren.

    3. Kaswara Modern VC-Addons

    Sicherheitslücke : Nicht authentifizierter willkürlicher Datei-Upload
    In Version gepatcht : Kein Fix bekannt
    Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

    Diese Schwachstelle wurde NICHT gepatcht. Deinstallieren und löschen Sie das Plugin, bis ein Patch veröffentlicht wird.

    4. Kopierschutz für WP-Inhalte und kein Rechtsklick

    Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über CSRF
    Gepatcht in Version : 3.4
    Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über Benutzer mit geringen Berechtigungen
    Gepatcht in Version : 3.5.1
    Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.5.1+ aktualisieren.

    5. Bedingter Marketing-Mailer für WooCommerce

    Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über CSRF
    Gepatcht in Version : 1.6
    Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über Benutzer mit geringen Berechtigungen
    Gepatcht in Version : 1.5.2
    Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.6+ aktualisieren.

    6. Captchinoo, Google recaptcha für die Admin-Anmeldeseite

    Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über CSRF
    In Version gepatcht : Kein Fix bekannt
    Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über Benutzer mit geringen Berechtigungen
    In Version gepatcht : Kein Fix bekannt
    Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Diese Schwachstelle wurde NICHT gepatcht. Deinstallieren und löschen Sie das Plugin, bis ein Patch veröffentlicht wird.

    7. WP-Wartungsmodus & Site im Aufbau

    Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über CSRF
    In Version gepatcht : Kein Fix bekannt
    Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über Benutzer mit geringen Berechtigungen
    In Version gepatcht : Kein Fix bekannt
    Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Diese Schwachstelle wurde NICHT gepatcht. Deinstallieren und löschen Sie das Plugin, bis ein Patch veröffentlicht wird.

    8. Baum-Sitemap

    Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über CSRF
    In Version gepatcht : Kein Fix bekannt
    Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über Benutzer mit geringen Berechtigungen
    In Version gepatcht : Kein Fix bekannt
    Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Diese Schwachstelle wurde NICHT gepatcht. Deinstallieren und löschen Sie das Plugin, bis ein Patch veröffentlicht wird.

    9. Anmeldeschutz – Fehlgeschlagene Anmeldeversuche begrenzen

    Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über CSRF
    In Version gepatcht : Kein Fix bekannt
    Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über Benutzer mit geringen Berechtigungen
    In Version gepatcht : Kein Fix bekannt
    Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Diese Schwachstelle wurde NICHT gepatcht. Deinstallieren und löschen Sie das Plugin, bis ein Patch veröffentlicht wird.

    10. Echtzeit-Statistiken zum Besucherverkehr

    Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über CSRF
    Gepatcht in Version : 2.13
    Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über Benutzer mit geringen Berechtigungen
    Gepatcht in Version : 2.12
    Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 2.13+ aktualisieren.

    11. Melden Sie sich als Benutzer oder Kunde an

    Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über CSRF
    Gepatcht in Version : 2.1
    Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über Benutzer mit geringen Berechtigungen
    Gepatcht in Version : 1.8
    Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 2.1+ aktualisieren.

    12. 404 an Eltern weiterleiten

    Sicherheitslücke : Reflektiertes Cross-Site-Scripting
    Gepatcht in Version : 1.3.1
    Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.3.1+ aktualisieren.

    13. Alle Kategorien und Taxonomien auswählen

    Sicherheitslücke : Reflektiertes Cross-Site-Scripting
    Gepatcht in Version : 1.3.2
    Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.3.2+ aktualisieren.

    14. Softwarelizenzmanager

    Sicherheitslücke : CSRF zu gespeichertem XSS
    Gepatcht in Version : 4.4.6
    Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 4.4.6+ aktualisieren.

    15. Autoverkäufer – Auto-Kleinanzeigen-Skript

    Sicherheitslücke : Nicht authentifizierte SQL-Injection
    In Version gepatcht : Kein Fix bekannt
    Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L

    Diese Schwachstelle wurde NICHT gepatcht. Deinstallieren und löschen Sie das Plugin, bis ein Patch veröffentlicht wird.

    16. Store Locator Plus

    Sicherheitslücke : Nicht authentifiziertes gespeichertes Cross-Site-Scripting
    In Version gepatcht : Kein Fix bekannt
    Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

    Diese Schwachstelle wurde NICHT gepatcht. Deinstallieren und löschen Sie das Plugin, bis ein Patch veröffentlicht wird.

    17. Happy Addons für Elementor Free & Pro

    Sicherheitslücke : Gespeichertes Cross-Site-Scripting
    Kostenlos gepatcht in Version : 2.24.0
    Pro gepatcht in Version : 1.17.0
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 2.24.0+ (Free) / 1.17.0+ (Pro) aktualisieren.

    18. WP Schnellster Cache

    WP Fastest Cache-Logo

    Sicherheitslücke : Authentifiziertes willkürliches Löschen von Dateien über Path Traversal
    Gepatcht in Version : 0.9.1.7
    Schweregrad : Niedrig – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 0.9.1.7+ aktualisieren.

    19. WPGraphQL

    Sicherheitslücke : Denial-of-Service
    In Version gepatcht : Kein Fix bekannt
    Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

    Diese Schwachstelle wurde NICHT gepatcht. Deinstallieren und löschen Sie das Plugin, bis ein Patch veröffentlicht wird.

    20. WooCommerce

    Sicherheitslücke : Authentifiziertes gespeichertes Cross-Site-Scripting
    Gepatcht in Version : 5.2.0
    Schweregrad : Mittel – CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 5.2.0+ aktualisieren.

    Schwachstellen im WordPress-Theme

    Diese Woche wurden keine neuen Themen-Schwachstellen bekannt.

    Ein WordPress-Sicherheits-Plugin kann helfen, Ihre Website zu schützen

    iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet über 50 Möglichkeiten, Ihre Website zu sichern und vor gängigen WordPress-Sicherheitslücken zu schützen. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website eine zusätzliche Sicherheitsebene hinzufügen.

    Holen Sie sich iThemes Security Pro