Sicherheitsforscher haben in drei WordPress-Plugins kritische Sicherheitslücken gefunden.Über 400.000 Webseiten sind davon betroffen.
Sicherheitsforscher haben in drei WordPress-Plugins kritische Sicherheitslücken gefunden. Man geht davon aus, dass über 400.000 Webseiten davon betroffen sind.
Drei WordPress-Plugins mit kritischen Sicherheitslücken
Die betroffenen Plugins InfiniteWP, WP Time Capsule und WP Database Reset sollte ma so schnell wie möglich aktualisieren. Denn in den drei WordPress-Erweiterungen hat man Sicherheitslücken entdeckt, die kritisch sind.
WordPress Database Reset
Das Plugin WP Database Reset verwendet man auf über 80.000 Webseiten, um Datenbanken zurückzusetzen, ohne den Standardprozess von WordPress durchlaufen zu müssen. Sicherheitsforscher von Wordfence haben zwei schwerwiegende Schwachstellen gefunden. Jede dieser Sicherheitslücken kann nach ihren Angaben dazu genutzt werden, ein vollständiges Zurücksetzen oder eine Übernahme der Website (Privilege Escalation) zu erzwingen. Insofern hat man die beiden Schwachstellen CVE-2020-7047 und CVE-2020-7048 mit einer hohen Kritikalität eingestuft.
InfiniteWP und WP Time Capsule
Bei einem Security Code Review der beiden Plugins, haben Sicherheitsforscher von WebARX festgestellt, dass die Authentifizierungsfunktion, der Plugins InfiniteWP Client und WP Time Capsule nicht funktionieren. Dadurch ermöglicht man es Angreifern, sich ohne Passwort in ein Administrator-Konto einzuloggen.
Die Entwickler von WordPress haben sehr schnell reagiert. Sie haben die Patches gleich am nächsten Tag nach dem Bericht veröffentlicht. Es ist immer wieder schön zu sehen, dass die Entwickler schnell handeln und ihre Kunden über die Probleme informieren. Dann können diese so schnell wie möglich auf eine sicherere Version updaten.
⚠️#Plugins unbedingt updaten ⚠️
Erhebliche Schwachstellen in WordPress Plugins „#InfiniteWP, WP Time Capsule & WP Database Reset“ gefunden. Quelle: @t3n https://t.co/oTxFhqGMcz#itnews #sicherheit
— webgo (@webgo_de) January 19, 2020