Schwachstelle in UpdraftPlus ermöglichte es Abonnenten, vertrauliche Backups herunterzuladen

Schwachstelle in UpdraftPlus ermöglichte es Abonnenten, vertrauliche Backups herunterzuladen

Am 17. Februar 2022 wurde UpdraftPlus, ein WordPress-Plugin mit über 3 Millionen Installationen, mit einem Sicherheitsfix für eine vom Sicherheitsforscher Marc Montpas entdeckte Schwachstelle aktualisiert. Diese Schwachstelle ermöglicht es jedem angemeldeten Benutzer, einschließlich Benutzern auf Abonnentenebene, Backups herunterzuladen, die mit dem Plugin erstellt wurden. Backups sind eine Fundgrube sensibler Informationen und enthalten häufig Konfigurationsdateien, die für den Zugriff auf die Site-Datenbank sowie den Inhalt der Datenbank selbst verwendet werden können.

Klicken Sie auf den unteren Button, um den Inhalt von www.wordfence.com zu laden.

Inhalt laden

 

Schwachstelle in UpdraftPlus ermöglichte es Abonnenten, vertrauliche Backups herunterzuladen

Sofort aktualisieren – Plugin Hide My WP

WordPress-Sicherheits-Plugin Hide My WP behebt SQL-Injection, Deaktivierungsfehler

Hide My WP, ein beliebtes WordPress- Sicherheits-Plugin, enthielt eine schwerwiegende SQL-Injection (SQLi)-Schwachstelle und eine Sicherheitslücke, die es nicht authentifizierten Angreifern ermöglichte, die Software zu deaktivieren.

Die jetzt gepatchten Fehler wurden bei einem Audit mehrerer Plugins auf der Website eines Kunden von Dave Jong, CTO von Patchstack , entdeckt , das WordPress-Websites vor Schwachstellen schützt und eine auf WordPress ausgerichtete Bug-Hunting-Plattform betreibt.

Der SQLi „ist ziemlich streng“, sagte Jong gegenüber The Daily Swig . „Es erlaubt jedem, Informationen aus der Datenbank zu extrahieren, es gibt keine Voraussetzungen. Ein Tool wie SQLmap könnte diese Schwachstelle leicht ausnutzen.“

Bitte das Plugin unverzüglich aktualisieren!

Schwachstelle in UpdraftPlus ermöglichte es Abonnenten, vertrauliche Backups herunterzuladen

Über eine Million WordPress-Sites bei GoDaddy betroffen

GoDaddy, das weltweit führende Webhosting-Unternehmen, dass Daten von 1,2 Millionen seiner WordPress-Kunden offengelegt wurden. 22. November 2021

In einer Mitteilung an die Securities and Exchange Commission (SEC) sagte Demetrius Comes, Sicherheitschef von GoDaddy, dass er unbefugten Zugriff auf von GoDaddy verwalteten WordPress-Server entdeckt wurden. Betroffen sind neben E-Mail-Adresse der Kunden auch Kundennummer, Passwort sowie weitere Daten wie sFTP- und Datenbank-Benutzernamen und -Passwörter.

Schwachstelle in UpdraftPlus ermöglichte es Abonnenten, vertrauliche Backups herunterzuladen

Eine Million WordPress-Sites sind aufgrund von Plugin-Schwachstellen gefährdet

Komplette Übernahme der WordPress-Site eine echte Möglichkeit, warnen Experten!

Laut dem Wordfence Threat Intelligence-Team ermöglichte eine Schwachstelle im Plugin Starter Templates – Elementor, Gutenberg & Beaver Builder Templates Benutzern auf Contributor-Ebene, jede Seite der Website vollständig zu überschreiben und bösartiges JavaScript nach Belieben einzubetten.

Die Schwachstelle wurde am 4. Oktober entdeckt und drei Tage später, am 7. Oktober, gepatcht. Allen Benutzern (insbesondere denjenigen, die die Versionen 2.7.0 und älter verwenden) wird nun empfohlen, das Plugin mindestens auf Version 2.7.5 zu aktualisieren.

Das WordPress-Plugin ermöglicht es Website-Besitzern, vorgefertigte Vorlagen für andere Website-Builder wie Elementor zu integrieren. Für Sites, auf denen dieser Builder installiert ist, erläutert Wordfence ein Beispiel, bei dem es Benutzern mit der Funktion edit_post (z. B. Mitwirkenden) möglich war, Blöcke auf den Seiten über die AJAX-Aktion astra-page-elementor-batch-process zu importieren.

Den ganzen Artikel können Sie hier nachlesen.