Drei WordPress-Plugins, die Sie sofort aktualisieren sollten WPML Litespeed GIveWP
In diesem Monat wurden drei WordPress-Plug-ins veröffentlicht, in denen Sicherheitslücken gefunden wurden. Wenn Sie diese Plug-ins installiert haben, sollten Sie die entsprechenden Updates so schnell wie möglich installieren. In diesem Blog gehen wir darauf ein, um welche Sicherheitslücken es sich handelt und wie Sie sie auf Ihrer Website beheben können.
WPML
Das weit verbreitete WordPress-Plugin für Mehrsprachigkeit (mehrere Sprachen), WPML, das auf mehr als einer Million Websites eingesetzt wird, hat vor kurzem eine Sicherheitslücke für die Remote-Code-Ausführung (CVE-2024-6386) behoben. Diese von Forschern als "kritisch" eingestufte Schwachstelle erhielt einen CVSS-Score von 9.9.
Nutzern wird dringend empfohlen, ihre Websites auf die neueste Version WPML 4.6.13.0 zu aktualisieren. Der Sicherheitsforscher Mat Rollings, bekannt als Stealthcopter, entdeckte die Schwachstelle und meldete sie über das Wordfence Bug Bounty-Programm, für das er eine Belohnung von 1.639 US-Dollar erhielt. István Márton von Wordfence erklärte, dass "das WPML-Plugin für WordPress in allen Versionen bis einschließlich 4.6.12 aufgrund einer Twig Server-Side Template Injection anfällig für Remote Code Execution ist.
Dieses Problem wird durch das Fehlen einer adäquaten Eingabevalidierung und -sanitisierung in der Render-Funktion verursacht, was authentifizierten Angreifern mit mindestens Contributor-Zugriffscode die Ausführung auf dem Server ermöglicht". Aktualisieren Sie das Plugin also sofort, wenn Sie es auf IhremHosting installiert haben, und erwägen Sie, dafür automatische Updates zu aktivieren. Dann wird die neueste Version sofort und ohne Ihr Zutun installiert.
GiveWP
GiveWP, ein weit verbreitetes Spenden-Plugin für WordPress, hat eine Schwachstelle behoben, durch die unauthentifizierte PHP Object Injection zu Remote Code Execution führen konnte. Diese Schwachstelle ermöglichte böswilligen Akteuren die Ausführung von beliebigem Remote-Code und das Löschen von Dateien.
Das zur Liquid Web-Produktfamilie gehörende Plugin hat mehr als 100.000 aktive Installationen. villu164 (Villu Orav) meldete die Schwachstelle im Rahmen des Wordfence Bug Bounty Programms und erhielt dafür eine Belohnung von 4.998 US-Dollar.
Die Forscher stufen die Schwachstelle als "kritisch" mit einem CVSS-Score von 10.0 ein und empfehlen dringend ein Update auf die neueste Version. Laut Wordfence ist das GiveWP-Plugin "in allen Versionen bis einschließlich 3.14.1 durch Deserialisierung von nicht vertrauenswürdigen Eingaben über den Parameter 'give_title' anfällig für PHP Object Injection. Dies ermöglicht es nicht authentifizierten Angreifern, ein PHP-Objekt einzuschleusen. Das Vorhandensein einer POP-Kette erlaubt es Angreifern dann, entfernten Code auszuführen und beliebige Dateien zu löschen.
LiteSpeed-Cache
Das LiteSpeed Cache Plugin, das weit verbreitet ist, um die Geschwindigkeit und Leistung von WordPress-Websites zu verbessern, hat kürzlich eine kritische Schwachstelle behoben, die eine unauthentifizierte Privilegienerweiterung ermöglicht (CVE-2024-28000).
Mit mehr als 5 Millionen aktiven Installationen ist dieses Plugin ein unverzichtbares Werkzeug für viele WordPress-Benutzer. John Blackbourn, ein Mitglied der Patchstack Alliance Community, entdeckte die Schwachstelle und erhielt eine Belohnung von 14.400 Dollar, die höchste Belohnung in der Geschichte der WordPress-Bug-Bounty-Programme. Oliver Sild, CEO von Patchstack, erklärte gegenüber WPTavern: "LiteSpeed Cache hat sein mVDP-Programm über Patchstack, das die Schwachstelle an das Patchstack-Zero-Day-Programm gemeldet hat.
Wir arbeiten eng mit Forschern und Plugin-Entwicklern zusammen, um sicherzustellen, dass Schwachstellen ordnungsgemäß behoben werden, bevor sie veröffentlicht werden." Aufgrund der Schwere der Schwachstelle haben die Forscher diese als "kritisch" eingestuft, mit einem CVSS-Score von 9,8. Es wird dringend empfohlen, so bald wie möglich auf Version 6.4 oder höher zu aktualisieren. Auch hier sollten Sie die automatischen Updates für dieses Plug-in zu diesem Zweck aktivieren.
Halten Sie Ihre WordPress-Website auf dem Laufenden
Bei jeder Website ist es wichtig, mit den Updates Schritt zu halten, sowohl im Front-End als auch im Back-End, wobei WordPress die beliebteste Methode zur Erstellung einer Website ist. Da WordPress die beliebteste Methode zur Erstellung von Websites ist, ist es auch anfällig für Schwachstellen, da es weit verbreitet ist und von böswilligen Personen stark beachtet wird.
Wir empfehlen, Ihre WordPress-Website mindestens einmal im Monat zu warten und, wenn möglich, automatische Updates für Plug-ins und den WordPress-Kern zu aktivieren, um das Risiko einer Infektion der Website zu verringern, auch wenn es immer ein Risiko gibt. Daher reicht es nicht aus, Ihre Website nur zu aktualisieren, sondern Sie sollten auch ein aktuelles Backup Ihrer gesamten Website erstellen. Sie können dies durch eine manuelle Sicherung tun, oder Sie können Tools und Plug-ins verwenden.
Wir haben mehrere davon getestet und in einem früheren Blogbeitrag vorgestellt. Quelle:wptavern.com