Code Snippets Plugin gefährdet 200.000 WordPress-Sites

Kurze Information für WordPress-Betreiber, die der Plugin-Mania anheimgefallen sind. Falls ihr das Plugin Code Snippets verwendet, solltet ihr dringend sicherstellen, dass die Version 2.14.0 installiert ist.


Anzeige

Dieses Open-Source-Plugin ermöglicht es den Benutzern, PHP-Codeschnipsel auf ihren WordPress-Sites auszuführen, und es bietet auch eine „grafische Schnittstelle, ähnlich dem Plugin-Menü, zur Verwaltung von Codeschnipseln“. Im WordPress-Repository ist Code Snippets mit mehr als 200.000 Installationen aufgeführt.

Das WordFence-Sicherheitsteam hat im Plugin aber die kritische Schwachstelle CVE-2020-8417 entdeckt. Es handelt sich um einen cross-site request forgery (CSRF) Bug, der eine Übernahme der WordPress-Installation ermöglicht. Diese CSRF-Schwachstelle erlaubte es Angreifern, Anfragen im Namen eines Administrators zu fälschen und Code auf einer verwundbaren Seite einzufügen. Potentielle Angreifer können daher beliebigen Code remote auf Webseiten ausführen, falls die angreifbare Version des Code-Snippets Plugin installiert ist.

Am 25. Januar 2020, 2 Tage nach Meldung der Schwachstelle, wurde die Version 2.14.0 des Plugins mit einem Bug-Fix veröffentlicht. Damit ist die WordPress-Seite nicht mehr über die Schwachstelle angreifbar. Weitere Details lest ihr bei Bedarf bei Bleeping Computer nach. Abschließender Ratschlag: Überlegt euch, welche Plugins ihr im WordPress-Blog wirklich braucht und stellt dann sicher, dass diese auch immer aktualisiert werden.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit Sicherheit, WordPress verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.