Sicherheitsforscher haben in drei WordPress-Plugins kritische Sicherheitslücken gefunden. Man geht davon aus, dass über 400.000 Webseiten davon betroffen sind.
Drei WordPress-Plugins mit kritischen Sicherheitslücken
Die betroffenen Plugins „InfiniteWP“, „WP Time Capsule“ und „WP Database Reset“ sollten so schnell wie möglich aktualisiert werden, denn in den drei WordPress-Erweiterungen hat man Sicherheitslücken entdeckt, die kritisch sind.
WordPress Database Reset
Das Plugin WP Database Reset verwendet man auf über 80.000 Webseiten, um Datenbanken zurückzusetzen, ohne den Standardprozess von WordPress durchlaufen zu müssen. Sicherheitsforscher von Wordfence haben zwei schwerwiegende Schwachstellen gefunden. Jede dieser Sicherheitslücken kann nach ihren Angaben dazu genutzt werden, ein vollständiges Zurücksetzen oder eine Übernahme der Website (Privilege Escalation) zu erzwingen. Insofern hat man die beiden Schwachstellen CVE-2020-7047 und CVE-2020-7048 mit einer hohen Kritikalität eingestuft.
InfiniteWP und WP Time Capsule
Bei einem Security Code Review der beiden Plugins, haben Sicherheitsforscher von WebARX festgestellt, dass die Authentifizierungsfunktion, der Plugins InfiniteWP Client und WP Time Capsule nicht funktionieren. Dadurch ermöglicht man es Angreifern, sich ohne Passwort in ein Administrator-Konto einzuloggen.
Die Entwickler haben sehr schnell reagiert und die Patches gleich am nächsten Tag nach dem Bericht veröffentlicht. Es ist immer wieder schön zu sehen, dass die Entwickler schnell handeln und ihre Kunden über die Probleme informieren, damit sie so schnell wie möglich auf eine sicherere Version updaten können.
Drei WordPress-Plugins mit kritischen Sicherheitslücken
Die betroffenen Plugins „InfiniteWP“, „WP Time Capsule“ und „WP Database Reset“ sollten so schnell wie möglich aktualisiert werden, denn in den drei WordPress-Erweiterungen hat man Sicherheitslücken entdeckt, die kritisch sind.
WordPress Database Reset
Das Plugin WP Database Reset verwendet man auf über 80.000 Webseiten, um Datenbanken zurückzusetzen, ohne den Standardprozess von WordPress durchlaufen zu müssen. Sicherheitsforscher von Wordfence haben zwei schwerwiegende Schwachstellen gefunden. Jede dieser Sicherheitslücken kann nach ihren Angaben dazu genutzt werden, ein vollständiges Zurücksetzen oder eine Übernahme der Website (Privilege Escalation) zu erzwingen. Insofern hat man die beiden Schwachstellen CVE-2020-7047 und CVE-2020-7048 mit einer hohen Kritikalität eingestuft.
InfiniteWP und WP Time Capsule
Bei einem Security Code Review der beiden Plugins, haben Sicherheitsforscher von WebARX festgestellt, dass die Authentifizierungsfunktion, der Plugins InfiniteWP Client und WP Time Capsule nicht funktionieren. Dadurch ermöglicht man es Angreifern, sich ohne Passwort in ein Administrator-Konto einzuloggen.
Die Entwickler haben sehr schnell reagiert und die Patches gleich am nächsten Tag nach dem Bericht veröffentlicht. Es ist immer wieder schön zu sehen, dass die Entwickler schnell handeln und ihre Kunden über die Probleme informieren, damit sie so schnell wie möglich auf eine sicherere Version updaten können.