WordPress: Sicherheitslücken in Plug-Ins

Momentan hagelt es wieder Meldungen zu Sicherheitslücken in WordPress Plug-Ins. Die Entwickler bei Wordfence beschreiben in ihrem Blog kritische Sicherheitslücken in zwei Plug-Ins: Ninja Forms Shell und Yoast SEO.


Anzeige

Ninja Forms Shell-Lücke

Das Ninja Forms Shell-Plug-In enthält in den Versionen 2.9.36 bis 2.9.42 gleich mehrere kritische Sicherheitslücken. Angreifer sind dadurch in der Lage, über Ninja Forms eine Shell hochzuladen und unter WordPress auszuführen. WordPress hat ein Exploit entwickelt, welches lediglich eine URL mit einem Ninja Form benötigt, um die WordPress-Installation zu kompromittieren. Es wird das Update auf Ninja Forms Version 2.9.45 empfohlen. Details finden sich hier.

Yoast SEO 3.2.4

Auch das populäre Plug-In Yoast SEO 3.2.4 enthält eine Sicherheitslücke, die es Benutzern mit der Rolle "subscriber" (Abonnent) ermöglicht, die SEO-Einstellungen auszulesen. Ermöglicht Angreifen auf WordPress-Sites, die eine automatische Benutzeranmeldung zulassen, das SEO-Profil herunterzuladen und auf Angriffsmöglichkeiten abzuklopfen. Der Fehler wird in Yoast SEO Version 3.2.5 behoben. Details finden sich in diesem Blog-Beitrag.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.