WordPress-Schwachstellenbericht: April 2021, Teil 4
Veröffentlicht: 2021-04-28Anfällige Plugins und Themes sind der Hauptgrund, warum WordPress-Websites gehackt werden. Dieser Bericht befasst sich mit aktuellen WordPress-Plugin-, Theme- und Core-Schwachstellen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Themes auf Ihrer Website ausführen.
Das WordPress Vulnerability Roundup ist in drei verschiedene Kategorien unterteilt: WordPress-Kern, WordPress-Plugins und WordPress-Themes. Jede Schwachstelle hat eine Schweregradbewertung von Niedrig , Mittel , Hoch oder Kritisch . Die Schweregradbewertungen basieren auf dem Common Vulnerability Scoring System.
WordPress Core-Schwachstellen
WordPress 5.7.1 wurde am 15. April 2021 veröffentlicht. Diese Sicherheits- und Wartungsversion enthält 26 Fehlerkorrekturen zusätzlich zu zwei Sicherheitskorrekturen. Da dies eine Sicherheitsversion des WordPress-Kerns ist, wird empfohlen, dass Sie Ihre Websites sofort aktualisieren!
Schwachstellen im WordPress-Plugin
1. Akkordeon

Sicherheitslücke : Authentifiziertes Reflected Cross-Site Scripting
Gepatcht in Version : 2.2.30
Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
2. RSS für Yandex Turbo

Sicherheitslücke : Authentifiziertes gespeichertes Cross-Site-Scripting
Gepatcht in Version : 1.30
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L
3. Kaswara Modern VC-Addons
Sicherheitslücke : Nicht authentifizierter willkürlicher Datei-Upload
In Version gepatcht : Kein Fix bekannt
Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
4. Kopierschutz für WP-Inhalte und kein Rechtsklick

Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über CSRF
Gepatcht in Version : 3.4
Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über Benutzer mit geringen Berechtigungen
Gepatcht in Version : 3.5.1
Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
5. Bedingter Marketing-Mailer für WooCommerce

Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über CSRF
Gepatcht in Version : 1.6
Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über Benutzer mit geringen Berechtigungen
Gepatcht in Version : 1.5.2
Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
6. Captchinoo, Google recaptcha für die Admin-Anmeldeseite
Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über CSRF
In Version gepatcht : Kein Fix bekannt
Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über Benutzer mit geringen Berechtigungen
In Version gepatcht : Kein Fix bekannt
Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
7. WP-Wartungsmodus & Site im Aufbau
Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über CSRF
In Version gepatcht : Kein Fix bekannt
Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über Benutzer mit geringen Berechtigungen
In Version gepatcht : Kein Fix bekannt
Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
8. Baum-Sitemap
Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über CSRF
In Version gepatcht : Kein Fix bekannt
Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über Benutzer mit geringen Berechtigungen
In Version gepatcht : Kein Fix bekannt
Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
9. Anmeldeschutz – Fehlgeschlagene Anmeldeversuche begrenzen
Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über CSRF
In Version gepatcht : Kein Fix bekannt
Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über Benutzer mit geringen Berechtigungen
In Version gepatcht : Kein Fix bekannt
Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
10. Echtzeit-Statistiken zum Besucherverkehr

Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über CSRF
Gepatcht in Version : 2.13
Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über Benutzer mit geringen Berechtigungen
Gepatcht in Version : 2.12
Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
11. Melden Sie sich als Benutzer oder Kunde an

Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über CSRF
Gepatcht in Version : 2.1
Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Sicherheitslücke : Beliebige Plugin-Installation/Aktivierung über Benutzer mit geringen Berechtigungen
Gepatcht in Version : 1.8
Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
12. 404 an Eltern weiterleiten

Sicherheitslücke : Reflektiertes Cross-Site-Scripting
Gepatcht in Version : 1.3.1
Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
13. Alle Kategorien und Taxonomien auswählen
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
Gepatcht in Version : 1.3.2
Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
14. Softwarelizenzmanager

Sicherheitslücke : CSRF zu gespeichertem XSS
Gepatcht in Version : 4.4.6
Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
15. Autoverkäufer – Auto-Kleinanzeigen-Skript
Sicherheitslücke : Nicht authentifizierte SQL-Injection
In Version gepatcht : Kein Fix bekannt
Schweregrad : Kritisch – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L
16. Store Locator Plus
Sicherheitslücke : Nicht authentifiziertes gespeichertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
17. Happy Addons für Elementor Free & Pro

Sicherheitslücke : Gespeichertes Cross-Site-Scripting
Kostenlos gepatcht in Version : 2.24.0
Pro gepatcht in Version : 1.17.0
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
18. WP Schnellster Cache

Sicherheitslücke : Authentifiziertes willkürliches Löschen von Dateien über Path Traversal
Gepatcht in Version : 0.9.1.7
Schweregrad : Niedrig – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L
19. WPGraphQL
Sicherheitslücke : Denial-of-Service
In Version gepatcht : Kein Fix bekannt
Schweregrad : Hoch – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
20. WooCommerce

Sicherheitslücke : Authentifiziertes gespeichertes Cross-Site-Scripting
Gepatcht in Version : 5.2.0
Schweregrad : Mittel – CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N
Schwachstellen im WordPress-Theme
Ein WordPress-Sicherheits-Plugin kann helfen, Ihre Website zu schützen
iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet über 50 Möglichkeiten, Ihre Website zu sichern und vor gängigen WordPress-Sicherheitslücken zu schützen. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website eine zusätzliche Sicherheitsebene hinzufügen.
Holen Sie sich iThemes Security Pro
Jede Woche erstellt Michael den WordPress-Schwachstellenbericht, um die Sicherheit Ihrer Websites zu gewährleisten. Als Produktmanager bei iThemes hilft er uns, die Produktpalette von iThemes weiter zu verbessern. Er ist ein riesiger Nerd und liebt es, alles über Technik zu lernen, alt und neu. Sie können Michael mit seiner Frau und seiner Tochter treffen, lesen oder Musik hören, wenn er nicht arbeitet.
