Neun WordPress-Plugins setzen über 1,3 Millionen Websites Exploits aus

Startseite » Neun WordPress-Plugins setzen über 1,3 Millionen Websites Exploits aus

Die United States Government Vulnerability Database und WordPress-Sicherheitsforscher haben Warnungen zu WordPress-Plugin-Schwachstellen herausgegeben. Von diesen Plugins betreffen neun der beliebtesten Plugins über 1,3 Millionen Websites.

Schwachstellen in neun WordPress-Plugins

Obwohl viele weitere Plugins als anfällig eingestuft wurden, betrafen die neun beliebtesten Plugins über 1,3 Millionen Websites. Schwachstellen wurden festgestellt

Die folgenden Punkte befinden sich auf der Liste der neun anfälligen Plugins:

  1. Header Footer Code Manager Über 300.000 Installationen
  2. Ad Inserter – Ad Manager und AdSense Ads Über 200.000 Installationen
  3. WordPress Popup Builder-Plugin Über 200.000 Installationen
  4. Brute-Force Anti-Malware und Firewall-Sicherheit Über 200.000 Installationen
  5. WP-Inhaltskopierschutz und kein Rechtsklick mehr als 100.000 Installationen
  6. Datenbanksicherung für WordPress 100.000+ Installationen
  7. GiveWP – Spenden-Plugin und Fundraising-Plattform Über 100.000 Installationen
  8. Download-Manager Über 100.000 Installationen
  9. WordPress Advanced Database Cleaner Plugin Über 80.000 Installationen

Header Footer Code Manager WordPress-Plugin

Das WordPress Header Footer Code Manager Plugin wurde von Sicherheitsforschern bei Wordfence entdeckt, um eine Reflected Cross-Site Scripting Schwachstelle zu haben.

Die Schwachstelle erfordert, dass der Hacker einen Administrator dazu verleitet, auf einen Link zu klicken oder eine andere Aktion auszuführen, um ihn für eine vollständige Übernahme der Website anfällig zu machen.

Die Forscher stellten fest, dass sich die Vielfalt der böswilligen Aktionen auf das Hinzufügen von Hintertüren und Angriffe auf Website-Besucher erstrecken könnte, da dieses Plugin einen sensiblen Bereich von WordPress-Websites betrifft, da es zum Hinzufügen von Code zu Websites verwendet wird.

Wordfence empfiehlt Publishern, ihre Installationen mindestens auf Version 1.1.17 zu aktualisieren.

Ad Inserter – Ad Manager- und AdSense-Anzeigen (kostenlose und Pro-Versionen)

WPScan berichtete, dass Ad Inserter – Ad Manager & AdSense Ads ebenfalls eine Schwachstelle aufwies, die zu einem Reflected Cross-Site Scripting Exploit führen könnte.

Publishern wird empfohlen, mindestens auf Version 2.7.10 zu aktualisieren.

Dieses Plugin enthält eine Schwachstelle, die zu einem SQL-Injection-Exploit führen könnte.

Laut der National Vulnerability Database:

„Das WordPress Popup Builder-Plugin vor 4.0.7 validiert und maskiert die Parameter orderby und order nicht richtig, bevor sie in einer SQL-Anweisung im Admin-Dashboard verwendet werden, was es hochprivilegierten Benutzern ermöglichen könnte, eine SQL-Injektion durchzuführen.“

Publishern wird empfohlen, mindestens auf Version 4.0.7 des WordPress-Plugins zu aktualisieren.

Anti-Malware-Sicherheit und Brute-Force-Firewall

Dieses WordPress-Plugin enthält auch eine durchdachte Cross-Site-Scripting-Schwachstelle. Ein Angreifer muss über Anmeldeinformationen auf Administratorebene verfügen, um den Angriff auszuführen.

Publishern wird empfohlen, mindestens auf Version 4.20.94 zu aktualisieren.

Kopierschutz für WP-Inhalte und kein Rechtsklick

Dieses WordPress-Plugin wurde von der Sicherheit entdeckt Patchstack-Forscher, die das Plugin gemeldet haben eine Cross Site Request Forgery (CSRF)-Schwachstelle zu haben.

Publishern wird empfohlen, mindestens auf Version 3.4.5 zu aktualisieren.

Datenbanksicherung für WordPress

Sicherheitsforscher von WPScan haben eine SQL-Injection-Schwachstelle gemeldet, die das Database Backup for WordPress-Plugin betrifft, das den sensibelsten Teil jeder WordPress-Installation, die Datenbank, verwaltet.

Hinweise von WPScan:

„Das Plugin bereinigt und maskiert den Fragmentparameter nicht richtig, bevor es in einer SQL-Anweisung im Admin-Dashboard verwendet wird, was zu einem SQL-Injection-Problem führt.“

Die National Vulnerability Database rät Publishern, das Database Backup for WordPress-Plugin auf mindestens Version 2.5.1 zu aktualisieren.

GiveWP – Spenden-Plugin und Fundraising-Plattform

Das GiveWP-Spenden-Plugin enthält eine Reflected Cross-Site Scripting-Schwachstelle. Publishern wird empfohlen, mindestens auf Version 2.17.3 des Plugins zu aktualisieren.

Laden Sie das Manager-WordPress-Plugin herunter

Dieses Plugin enthält einen SQL-Injection-Exploit, der zu einem Reflected Cross-Site Scripting-Angriff führen könnte. Publishern wird empfohlen, mindestens auf Version 3.2.34 zu aktualisieren.

Advanced Database Cleaner WordPress-Plugin

Dieses Plugin wurde von Sicherheitsforschern entdeckt, um ein Problem zu enthalten, das zu einem Reflected Cross-Site Scripting-Angriff führen könnte. Publishern wird empfohlen, mindestens auf Version 3.0.4 des Plugins zu aktualisieren.

Mehrere anfällige WordPress-Plugins

Viele Plugins wurden mit Sicherheitslücken gemeldet. Aber diese neun sind die beliebtesten Plugins.

Alle Plugins haben einen Patch erhalten, der die Schwachstelle schließt, aber es liegt an den Herausgebern, sicherzustellen, dass sie die neuesten Versionen verwenden, um ihre Websites und Besucher zu schützen.

Zitate

Code-Handler für Kopf- und Fußzeilen
https://www.wordfence.com/blog/2022/02/reflected-xss-in-header-footer-code-manager/

Ad Inserter – Ad Manager- und AdSense-Anzeigen
https://nvd.nist.gov/vuln/detail/CVE-2022-0288

WordPress-Popup-Maker-Plugin
https://nvd.nist.gov/vuln/detail/CVE-2022-0228

Anti-Malware-Sicherheit und Brute-Force-Firewall
https://nvd.nist.gov/vuln/detail/CVE-2021-25101
https://wpscan.com/vulnerability/5fd0380c-0d1d-4380-96f0-a07be5a61eba

Kopierschutz für WP-Inhalte und kein Rechtsklick
https://nvd.nist.gov/vuln/detail/CVE-2022-23983

Datenbanksicherung für WordPress
https://nvd.nist.gov/vuln/detail/CVE-2022-0255

GiveWP – Spenden-Plugin und Fundraising-Plattform
https://nvd.nist.gov/vuln/detail/CVE-2021-25100
https://nvd.nist.gov/vuln/detail/CVE-2021-25099

Download-Manager
https://nvd.nist.gov/vuln/detail/CVE-2021-25069
https://wpscan.com/vulnerability/4ff5e638-1b89-41df-b65a-f821de8934e8

Advanced Database Cleaner WordPress-Plugin
https://nvd.nist.gov/vuln/detail/CVE-2021-24921