Hier finden sich alle aktuellen Sicherheitslücken von WordPress, Plugins und Themes, die im laufenden Monat bekannt wurden. Wer hinsichtlich der Sicherheit in der WordPress-Welt immer auf dem Laufenden sein möchte, sollte am besten einmal pro Monat hier vorbeischauen.
WordPress ist das meist genutzte Content Management System der Welt. Dementsprechend ist das System natürlich gefundenes Fressen für Angreifer. Dafür gilt WordPress aber auch als äußert sicher. Wen man im Rahmen einer WordPress Wartung regelmäßig alle (Sicherheits-)Updates einspielt und Plugins oder Themes mit Bedacht auswählt, gibt es kaum etwas zu befürchten.
Dennoch ist es natürlich so, dass sich von Zeit zu Zeit Sicherheitslücken einschleichen können — zum Beispiel in Plugins. Das geschieht in der Regel durch Unachtsamkeit in der Programmierung. Das gilt übrigens nicht nur für WordPress oder WordPress Plugins, sondern auch für alle anderen Content Management Systeme. Ein großer Vorteil von WordPress: Durch die internationale, riesige Entwickler-Community werden Sicherheitsprobleme oftmals schnell entdeckt, gemeldet und entsprechend mit einem Update geschlossen.
Dennoch ist es natürlich sinnvoll, wenn man weiß, ob z.B. ein eingesetztes Plugin betroffen ist. Dann kann man direkt tätig werden. Gibt es für ein betroffenes Plugin kein Update, da z.B. die Weiterentwicklung eingestellt wurde, sollte man einen WordPress Sicherheitsexperten aufsuchen oder das Plugin löschen bzw. austauschen.
Aus diesem Grund haben wir es uns zur Aufgabe gemacht, einmal pro Monat alle bekannten Sicherheitslücken hier im Blog zu melden. Die Daten stammen dabei von WPScan, einer WordPress Sicherheits-Datenbank, auch bekannt als WordPress Vulnerability Database.
Inhaltsverzeichnis
WordPress Sicherheitslücken
Sicherheitslücken in WordPress Plugins
Diese Plugins sind im Monat November 2020 von Sicherheitslücken betroffen und sollten daher aktualisiert oder gelöscht werden.
Aufbau der Liste: Plugin Name < Version – Art der Sicherheitslücke
- BuddyPress < 6.4.0 – Lack of Capability Check on Profile Page
- WP Google Map Plugin <= 4.1.3 – Authenticated SQL Injection
- WPJobBoard < 5.7.0 – Unauthenticated SQL Injection
- WPJobBoard < 5.7.0 – Unauthenticated Reflected XSS & XFS
- Media Library Assistant < 2.90 – Authenticated Blind SQL Injection
- Secure File Manager – Authenticated Remote Command Execution
- WooCommerce Anti-Fraud <= 3.2 – Unauthenticated Order Status Manipulation
- Anti-Spam by CleanTalk < 5.149 – Multiple Authenticated SQL Injections
- Weforms <= 1.4.7 – CSV Injection
- Easy Registration Forms <= 2.0.6 – CSV Injection
- Import and export users and customers < 1.16.3.6 – CSV Injection
- Contextual Related Posts < 2.9.4 – CSRF Nonce Validation Bypass
- Fancy Product Designer < 4.5.1 – Unauthenticated Stored Cross-Site Scripting
- [0day] AIT CSV Import / Export <= 3.0.3 – Unauthenticated Arbitrary File Upload
- BA Book Everything < 1.3.25 – Unauthenticated Reflected XSS & XFS
- Good LMS < 2.1.5 – Unauthenticated SQL Injection
- Ultimate Reviews < 2.1.33 – Unauthenticated PHP Object Injection
- Ultimate Member < 2.1.12 – Unauthenticated Privilege Escalation via User Meta
- Ultimate Member < 2.1.12 – Authenticated Privilege Escalation via Profile Update
- Ultimate Member < 2.1.12 – Unauthenticated Privilege Escalation via User Roles
- Abandoned Cart Lite for WooCommerce < 5.8.3 – Unauthenticated SQL Injection
- WooCommerce Blocks < 3.7.1 – Guest Account Creation
- WooCommerce < 4.6.2 – Guest Account Creation
- Welcart e-Commerce < 1.9.36 – Authenticated PHP Object Injection
- Augmented Reality <= 1.2.0 – Unauthenticated PHP File Upload leading to RCE
- GDPR CCPA Compliance Support < 2.4 – Unauthenticated PHP Object Injection
- WP Activity Log < 4.1.5 – SQL Injection in External Database Module
- AccessPress Social Icons < 1.8.1 – Authenticated SQL Injection
Diese Plugins sind im Monat September 2020 von Sicherheitslücken betroffen und sollten daher aktualisiert oder gelöscht werden.
- Slider by 10Web < 1.2.36 – Multiple Authenticated SQL Injection
- WP Courses < 2.0.29 – Broken Access Controls leading to Courses Content Disclosure
- Simple:Press < 6.6.1 – Broken Access Control leading to RCE
- XCloner Backup and Restore < 4.2.153 – Cross-Site Request Forgery
- XCloner Backup and Restore 4.2.1 – 4.2.12 – Unprotected AJAX Action
- Drag and Drop Multiple File Upload – Contact Form 7 < 1.3.5.5 – Unauthenticated Remote Code Execution
- Discount Rules for WooCommerce < 2.2.1 – Multiple Authorization Bypass
- MetaSlider < 3.17.2 – Authenticated Stored Cross-Site Scripting (XSS)
- Multiple Plugins/Themes – Cross-Site Request Forgery (CSRF)
- Affiliate Manager < 2.7.8 – Unauthenticated Stored Cross-Site Scripting (XSS)
- 10Web Social Post Feed < 1.1.27 – Authenticated SQL Injection
- Email Subscribers & Newsletters < 4.5.6 – Unauthenticated email forgery/spoofing
- Sticky Menu, Sticky Header (or anything!) on Scroll < 2.21 – CSRF & XSS
- LearnPress < 3.2.7.3 – CSRF & XSS
- Elementor Addon Elements < 1.6.4 – CSRF & XSS
- Cookiebot < 3.6.1 – CSRF & XSS
- Asset CleanUp: Page Speed Booster < 1.3.6.7 – CSRF & XSS
- All In One WP Security & Firewall < 4.4.4 – CSRF & XSS
- Absolutely Glamorous Custom Admin < 6.5.5 – CSRF & XSS
- Advanced Database Cleaner < 3.0.2 – Authenticated SQL injection
- ActiveCampaign < 8.0.2 – Cross-Site Request Forgery in Settings
- Constant Contact Forms < 1.8.8 – Multiple Authenticated Stored XSS
- NextScripts: Social Networks Auto-Poster < 4.3.18 – Insufficient Privilege Validation
- File Manager < 6.9 – Arbitrary File Upload leading to RCE
Sicherheitslücken in WordPress Themes
Diese Themes sind im Monat November 2020 von Sicherheitslücken betroffen und sollten daher aktualisiert oder gelöscht werden.
Aufbau der Liste: Plugin Name < Version – Art der Sicherheitslücke
- Wibar <= 1.1.8 – Authenticated Stored Cross-Site Scripting
- Love Travel 2.0-3.8 – Unauthenticated Reflected XSS & XFS
- Love Travel < 2.0 – Unauthenticated Reflected XSS & XFS
Diese Themes sind im Monat September 2020 von Sicherheitslücken betroffen und sollten daher aktualisiert oder gelöscht werden.
- JobMonster < 4.6.6.1 – Directory Listing in Upload Folder
- Multiple Plugins/Themes – Cross-Site Request Forgery (CSRF)