WordPress-PlugIn WP Statistics mit Sicherheitslücke

Wichtiger Hinweis für Betreiber von WordPress-Sites, die das Statistik-Plugin WP Statistics installiert haben. Ältere Versionen des PlugIns enthalten eine SQL-Injection-Lücke, über die Angreifer die WordPress-Site sensitive Informationen abrufen können.


Anzeige

Entdeckt wurde die Sicherheitslücke vom Team des Sicherheitsanbieters Sucuri, die das Ganze bereits am 30. Juni 2017 veröffentlicht haben. Das Plugin ist auf über 300.000 Seiten installiert. Auch hier im Blog läuft das Plugin mit – die Sicherheitslücke ließ sich hier aber nicht ausnutzen.

Die SQL-Injection-Lücke ließ sich nur ausnutzen, wenn die Angreifer ein Konto für den betreffenden WordPress-Auftritt hatten, welches mindestens Abonnentenrechte beinhaltet. Dann ließen sich Abfragen mittels wp_statistics_searchengine_query() missbrauchen.

Das Sucuri-Team hat die Plugin-Entwickler kontaktiert, die dann das Plugin aktualisiert haben. Ab der Version 12.0.8 ist diese Sicherheitslücke gefixt. In meinem Blog habe ich gesehen, dass das Plugin gestern sogar auf die Version 12.0.8.1 aktualisiert wurde. Wer also eine ältere Version von WP Statistics vor 12.0.8 betreibt, sollte dieses Plugin aktualisieren. (via)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.