WordPress: Schwachstellen in OneTone-Theme und Plugin

[English]Aktuell gefährden ein veraltetes Theme (OneTone) sowie das Plugin Real-Time Find and Replace massiv die Sicherheit von WordPress-Installationen. Wer diese Elemente nutzt, muss dringend handeln – die Schwachstellen werden aktiv ausgenutzt.


Anzeige

OneTone-Theme wird angegriffen

WordPress-Nutzer, die zufällig das seit Jahren nicht mehr aktualisierte Theme OneTone einsetzen (aktuell gibt es 20.000 Installationen), sollten dieses dringend austauschen. Das Theme enthält eine Cross-Site-Scripting-Schwachstelle, die hier mit ihren Details offen gelegt wird. Diese ermöglicht Angreifern Schadcode über geöffnete Tabs von Web-Admins eines WordPress-Blogs einzuschleusen. Die Schwachstelle wird massenhaft angegriffen. Sofern jemand das Theme einsetzt, findet er bei heise in diesem Artikel einige weiterführende Informationen.

Plugin Real-Time Find and Replace

Die zweite Problemstelle ist das Plugin Real-Time Find and Replace, welches auf 100.000 Seiten verwendet wird. Das Plugin ermöglicht dynamisch Text und Inhalte beim Seitenabruf auszutauschen. Wordfence hat diesen Bericht veröffentlicht, der auf eine am 22. April 2020 entdeckte XSS-Schwachstelle hinweist. Die Entwickler des Plugins haben die Schwachstelle in der freigegebenen Version 4.0.2 geschlossen. Bleeping Computer hat hier einen Artikel zum Thema.


Anzeige


Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit Sicherheit, WordPress verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.