Zusammenfassung der WordPress-Sicherheitslücke: August 2020, Teil 2

Veröffentlicht: 2020-10-29

In der zweiten Augusthälfte wurden neue Sicherheitslücken in WordPress-Plugins und Themes bekannt, daher möchten wir Sie auf dem Laufenden halten. In diesem Beitrag behandeln wir die neuesten WordPress-Plugin-, Theme- und Core-Schwachstellen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Themes auf Ihrer Website ausführen.

Das WordPress Vulnerability Roundup ist in drei verschiedene Kategorien unterteilt: WordPress-Kern, WordPress-Plugins und WordPress-Themes.

In diesem Bericht

    WordPress Core-Schwachstellen

    Im August wurden keine Schwachstellen im WordPress-Kern bekannt. Der August brachte jedoch eine neue Hauptversion von WordPress. Beachten Sie nur, dass wir zahlreiche Berichte über das Brechen von Websites mit dem Update 5.5 erhalten haben. Hier ist eine Anleitung zu WordPress 5.5 Breaking Websites: How to Fix.

    Siehe Was ist neu in WordPress 5.5

    WordPress 5.5 „Eckstine“ ist da! Diese Hauptversion von WordPress konzentriert sich auf "Geschwindigkeit, Suche und Sicherheit", einschließlich 1500+ Änderungen an der Blockeditor-Oberfläche, 150+ Verbesserungen und Funktionsanfragen, 300+ Bugfixes und mehr. Sehen Sie, was es Neues in WordPress 5.5 gibt.

    Stellen Sie sicher, dass Sie alle Ihre Websites auf WordPress 5.5 aktualisieren.

    Schwachstellen im WordPress-Plugin

    1. Ultimatives Mitglied

    Ultimate Member-Versionen unter 2.1.7 weisen eine Schwachstelle in der nicht authentifizierten offenen Umleitung auf.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 2.1.7 aktualisieren.

    2. Quiz- und Umfrage-Master

    Quiz- und Survey Master-Versionen unter 7.0.1 weisen Sicherheitslücken beim Löschen von nicht authentifizierten Dateien und beim Hochladen beliebiger Dateien auf.

    Die Schwachstellen sind gepatcht und Sie sollten auf Version 7.0.1 aktualisieren.

    3. Medien verkaufen

    Sell ​​Media-Versionen unter 2.4.2 weisen eine Schwachstelle durch nicht authentifiziertes Reflected Cross-Site Scripting auf.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 2.4.2 aktualisieren.

    4. WordPress fancyBox Lightbox

    WordPress-fancyBox-Lightbox-Versionen unter 1.0.2 weisen eine Sicherheitsanfälligkeit für authentifiziertes gespeichertes Cross-Site-Scripting auf.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 1.0.2 aktualisieren.

    5. WordPress Colorbox Lightbox

    WordPress Colorbox Lightbox-Versionen unter 1.1.3 weisen eine Sicherheitsanfälligkeit für Authenticated Stored Cross-Site Scripting auf.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 1.1.3 aktualisieren.

    6. Foto verkaufen

    Alle Versionen der Schwachstelle Sell Photo Authenticated Stored Cross-Site Scripting.

    Entfernen Sie das Plugin, bis ein Sicherheitsfix veröffentlicht wird.

    7. Responsive Lightbox2

    Responsive Lightbox2-Versionen unter 1.0.3 weisen eine Sicherheitsanfälligkeit bezüglich Authenticated Stored Cross-Site Scripting auf.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 1.0.3 aktualisieren.

    8. NextGEN Galerie Foto verkaufen

    Alle Versionen von NextGEN Gallery Sell Photo weisen eine Sicherheitsanfälligkeit bezüglich Authenticated Stored Cross-Site Scripting auf.

    Entfernen Sie das Plugin, bis ein Sicherheitsfix veröffentlicht wird.

    9. Einfacher Medien-Download

    Easy Media Download-Versionen unter 1.1.5 weisen eine Sicherheitsanfälligkeit für Authenticated Stored Cross-Site Scripting auf.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 1.1.5 aktualisieren.

    10. Interner Links-Manager

    Alle Versionen von Internal Links Manager weisen mehrere authentifizierte gespeicherte Cross-Site-Scripting-Schwachstellen auf.

    Entfernen Sie das Plugin, bis ein Sicherheitsfix veröffentlicht wird.

    11. Elegantes Testimonial

    Alle Versionen von Elegant Testimonial weisen mehrere authentifizierte gespeicherte Cross-Site-Scripting-Schwachstellen auf.

    Entfernen Sie das Plugin, bis ein Sicherheitsfix veröffentlicht wird.

    12. Nach oben klicken

    Click-to-Top-Versionen unter 1.2.7 weisen eine Sicherheitsanfälligkeit bezüglich Authenticated Stored Cross-Site Scripting auf.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 1.2.7 aktualisieren.

    13. WP-Kundenrezensionen

    WP-Kundenrezensionen unter 3.4.3 weisen mehrere nicht authentifizierte und authentifizierte gespeicherte XSS-Schwachstellen mit geringen Berechtigungen auf.

    Die Schwachstellen sind gepatcht und Sie sollten auf Version 3.4.3 aktualisieren.

    14. Rabattregeln für WooCommerce

    Rabattregeln für WooCommerce-Versionen unter 2.1.0 haben mehrere Schwachstellen.

    Die Schwachstellen sind gepatcht und Sie sollten auf Version 2.1.0 aktualisieren.

    15. Advanced Access Manager

    Advanced Access Manager-Versionen unter 6.6.2 weisen eine authentifizierte Autorisierungsumgehung und eine Privilege Escalation-Schwachstelle auf.

    Die Schwachstellen sind gepatcht und Sie sollten auf Version 6.6.2 aktualisieren.

    16. WooCommerce – NAB-Transaktion

    WooCommerce – NAB Transact Versionen unter 2.1.2 haben eine Payment Bypass-Schwachstelle.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 2.1.2 aktualisieren.

    17. Kali-Formen

    Kali Forms-Versionen unter 2.1.2 weisen mehrere Sicherheitslücken auf.

    Die Schwachstellen sind gepatcht und Sie sollten auf Version 2.1.2 aktualisieren.

    18. RSVPMaker

    RSVPMaker-Versionen unter 7.8.2 weisen eine Unauthenticated SQL Injection-Schwachstelle auf.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 7.8.2 aktualisieren.

    19. Autooptimieren

    Autoptimize-Versionen unter 2.7.7 weisen eine Sicherheitsanfälligkeit für den authentifizierten, willkürlichen Datei-Upload auf.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 2.7.7 aktualisieren.

    Schwachstellen im WordPress-Theme

    1. LebensmittelBäckerei

    Die FoodBakery-Versionen 1.9 und niedriger weisen eine Unauthenticated Reflected XSS-Schwachstelle auf.

    Die Schwachstelle wurde in Version 1.9 als Hotpatch behoben. Es wurde jedoch keine neue Version veröffentlicht. Als Ergebnis gibt es zwei Versionen 1.9, eine anfällig und eine mit dem Patch. Sie sollten sich an den Entwickler wenden, um zu bestätigen, dass Sie diesen Patch erhalten haben.

    2. Konzept

    Konzept-Versionen unter 2.5 weisen eine Unauthenticated Reflected XSS-Schwachstelle auf.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 2.5 aktualisieren.

    3. Nova Lite

    Nova Lite-Versionen unter 1.3.9 weisen eine Schwachstelle für nicht authentifiziertes Reflected Cross-Site Scripting auf.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 1.3.9 aktualisieren.

    4. Hausvillen

    Alle Versionen von Home Villas weisen mehrere Cross-Site-Scripting-Schwachstellen auf.

    Entfernen Sie das Design, bis ein Sicherheitsfix veröffentlicht wird.

    5. Geo-Magazin

    Alle Versionen von Geo Magazine weisen eine Unauthenticated Reflected XSS-Schwachstelle auf.

    Entfernen Sie das Design, bis ein Sicherheitsfix veröffentlicht wird.

    Schützen Sie WordPress mit dem iThemes Security Site Scan

    Wussten Sie, dass 60 % der Website-Verstöße Sicherheitslücken beinhalten, für die ein Patch verfügbar, aber nicht angewendet wurde? Dies bedeutet, dass die Installation von Software mit bekannten Schwachstellen auf Ihrer Website Hackern die Blaupausen gibt, die sie benötigen, um Ihre Website zu übernehmen.

    Jeden Tag wird es schwieriger, jede offengelegte WordPress-Sicherheitslücke zu verfolgen . Sie müssen diese Liste mit den Versionen von Plugins und Themes vergleichen, die Sie auf Ihrer Site installiert haben… und sicherstellen, dass Sie ständig aktualisieren.

    Um dieses Problem zu lösen, freuen wir uns, Ihnen heute mitteilen zu können, dass das iThemes Security Pro-Plugin eine bessere Möglichkeit bietet , Ihre Websites vor Softwareschwachstellen zu schützen , den Hauptschuldigen für gehackte und kompromittierte WordPress-Sites.

    Der neue, verbesserte WordPress Security Site Scan powered by iThemes führt automatische Überprüfungen auf bekannte Website-Schwachstellen durch und wenn ein Patch verfügbar ist, wird iThemes Security Pro den Fix jetzt automatisch für Sie anwenden… damit Sie dies nicht tun müssen. Wütend. das ist eine gewisse Beruhigung.

    Details zur Site-Scan-Schwachstelle

    Ein WordPress-Sicherheits-Plugin kann helfen, Ihre Website zu schützen

    iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet über 50 Möglichkeiten, Ihre Website zu sichern und vor gängigen WordPress-Sicherheitslücken zu schützen. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website eine zusätzliche Sicherheitsebene hinzufügen.