WordPress-Schwachstellenbericht: Oktober 2021, Teil 3

Veröffentlicht: 2021-10-21

Anfällige Plugins und Themes sind der häufigste Grund, warum WordPress-Websites gehackt werden. Der wöchentliche WordPress-Schwachstellenbericht powered by WPScan behandelt aktuelle Schwachstellen in WordPress-Plugins, -Themen und -Kernen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Designs auf Ihrer Website ausführen.

Jede Schwachstelle hat eine Schweregradbewertung von Niedrig , Mittel , Hoch oder Kritisch . Die verantwortungsbewusste Offenlegung und Meldung von Schwachstellen ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community.

Bitte teilen Sie diesen Beitrag mit Ihren Freunden, um die Nachricht zu verbreiten und WordPress für alle sicherer zu machen.

Inhalt des Berichts vom 20. Oktober 2021
    Möchten Sie, dass dieser Bericht jede Woche in Ihren Posteingang geliefert wird?
    Abonnieren Sie die wöchentliche E-Mail

    WordPress-Core-Schwachstellen

    Die neueste Version des WordPress-Kerns ist 5.8.1, die als Sicherheits- und Wartungsversion veröffentlicht wurde. Als bewährte Methode sollten Sie immer die neueste Version des WordPress-Kerns ausführen!

    Sicherheitslücken in WordPress-Plugins

    In diesem Abschnitt wurden die neuesten Sicherheitslücken in WordPress-Plugins offengelegt. Jede Plugin-Auflistung enthält die Art der Schwachstelle, die Versionsnummer, falls gepatcht, und die Bewertung des Schweregrads.

    1. WPSchoolPress

    Plugin: WPSchoolPress
    Schwachstelle : Multiple Admin+ Stored Cross-Site Scripting
    Gepatcht in Version : 2.1.17
    Schweregrad : Niedrig

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.1.17 updaten.

    Plugin: WPSchoolPress
    Sicherheitslücke : Reflected Cross-Site Scripting
    Gepatcht in Version : 2.1.10
    Schweregrad : Hoch

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.1.10 updaten.

    Plugin: WPSchoolPress
    Schwachstelle : Mehrere authentifizierte SQL-Injektionen
    Gepatcht in Version : 2.1.10
    Schweregrad : Hoch

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.1.10 updaten.

    2. YITH WooCommerce Multi-Vendor

    Plugin: Squaretype MYITH WooCommerce Multi Vendor
    Sicherheitslücke : Reflected Cross-Site Scripting
    Gepatcht in Version : 3.8.1
    Schweregrad : Hoch

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.8.1 updaten.

    3. Print-O-Matic

    Plugin: Print-O-Matic
    Schwachstelle : Admin+ Stored Cross-Site Scripting
    Gepatcht in Version : 2.0.3
    Schweregrad : Niedrig

    Die Sicherheitslücke ist gepatcht, daher sollten Sie auf Version 2.0.3 aktualisieren.

    4. Tortenregister

    Plugin: Pie Register
    Schwachstelle : Nicht authentifizierte SQL-Injection
    Gepatcht in Version : 3.7.1.6
    Schweregrad : Hoch

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.7.1.6 updaten.

    Plugin: Pie Register
    Schwachstelle : Nicht authentifizierte SQL-Injection
    Gepatcht in Version : 3.7.1.6
    Schweregrad : Kritisch

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.7.1.6 updaten.

    5. Coupon-Affiliates für WooCommerce

    Plugin: Coupon Affiliates für WooCommerce
    Schwachstelle : Willkürliche Löschung von Verweisbesuchen über CSRF
    Gepatcht in Version : 4.11.3.4
    Schweregrad : Mittel

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 4.11.3.4 aktualisieren.

    6. MAZ-Lader

    Plugin: MAZ-Loader
    Schwachstelle : Contributor+ SQL Injection
    Gepatcht in Version : 1.3.3
    Schweregrad : Hoch

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.3.3 aktualisieren.

    7. Storefront-Fußzeilentext

    Plugin: Storefront-Fußzeilentext
    Schwachstelle : Admin+ Stored Cross-Site Scripting
    Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
    Schweregrad : Mittel

    Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 6. Oktober 2021 geschlossen. Deinstallieren und löschen.

    8. Quiz-Tool Lite

    Plugin: Quiz-Tool Lite
    Schwachstelle : Multiple Admin+ Stored Cross-Site Scripting
    Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
    Schweregrad : Niedrig

    Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 28. September 2021 geschlossen. Deinstallieren und löschen.

    9. Qwizcards

    Plugin: Qwizcards
    Schwachstelle : Admin+ Stored Cross Site Scripting
    Gepatcht in Version : 3.62
    Schweregrad : Niedrig

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.62 aktualisieren.

    10. Loco-Übersetzer

    Plugin: Loco Translate
    Schwachstelle : Authentifizierte PHP-Code-Injektion
    Gepatcht in Version : 2.5.4
    Schweregrad : Hoch

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.5.4 updaten.

    11. iPanorama 360 WordPress Virtual Tour Builder

    Plugin: iPanorama 360 WordPress Virtual Tour Builder
    Schwachstelle : CSRF für Stored Cross-Site Scripting
    Gepatcht in Version : 1.6.22
    Schweregrad : Hoch

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.6.22 aktualisieren.

    12. Vision Interactive für WordPress

    Plugin: Vision Interactive für WordPress
    Sicherheitslücke : Reflected Cross-Site Scripting
    Gepatcht in Version : keine bekannte Lösung
    Schweregrad : Hoch

    Diese Schwachstelle wurde NICHT gepatcht. Deinstallieren und löschen Sie das Plugin, bis ein Patch veröffentlicht wird.

    13. ImageLinks Interactive Image Builder für WordPress

    Plugin: ImageLinks Interactive Image Builder für WordPress
    Sicherheitslücke : Reflected Cross-Site Scripting
    Gepatcht in Version : keine bekannte Lösung
    Schweregrad : Hoch

    Diese Schwachstelle wurde NICHT gepatcht. Deinstallieren und löschen Sie das Plugin, bis ein Patch veröffentlicht wird.

    14. Einfaches benutzerdefiniertes Js- und CSS-Plugin für WordPress

    Plug-in: Einfaches benutzerdefiniertes Js- und CSS-Plug-in für WordPress
    Sicherheitslücke : Reflected Cross-Site Scripting
    Gepatcht in Version : keine bekannte Lösung
    Schweregrad : Hoch

    Diese Schwachstelle wurde NICHT gepatcht. Deinstallieren und löschen Sie das Plugin, bis ein Patch veröffentlicht wird.

    15. iPages Flipbook für WordPress

    Plugin: iPages Flipbook für WordPress
    Sicherheitslücke : Reflected Cross-Site Scripting
    Gepatcht in Version : 1.4.3
    Schweregrad : Hoch

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.4.3 updaten.

    16. 404 bis 301

    Plugin: 404 bis 301
    Schwachstelle : Protokolllöschung über CSRF
    Gepatcht in Version : 3.0.9
    Schweregrad : Mittel

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.0.9 updaten.

    17. Post-Expirator

    Plugin: Post Expirator
    Schwachstelle : Contributor+ Arbitrary Post Schedule
    Gepatcht in Version : 2.6.0
    Schweregrad : Hoch

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.6.22 aktualisieren.

    18. WP-Header-Bilder

    Plugin: WP-Header-Bilder
    Sicherheitslücke : Reflected Cross-Site Scripting
    Gepatcht in Version : 2.0.1
    Schweregrad : Hoch

    Die Sicherheitslücke ist gepatcht, daher sollten Sie auf Version 2.0.1 aktualisieren.

    19. Abonnements und Mitgliedschaften für PayPal

    Plugin: Abonnements & Mitgliedschaften für PayPal
    Schwachstelle : Reflektiertes Cross-Site Scripting über Seitenparameter
    Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
    Schweregrad : Hoch

    Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde zum 30. September 2021 geschlossen. Deinstallieren und löschen.

    20. Akzeptieren Sie Spenden mit PayPal

    Plugin: Spenden mit PayPal annehmen
    Schwachstelle : Reflektiertes Cross-Site Scripting über Seitenparameter
    Gepatcht in Version : 1.3.1
    Schweregrad : Hoch

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.3.1 updaten.

    21. PayPal-Ereignisse

    Plugin: PayPal-Ereignisse
    Schwachstelle : Reflektiertes Cross-Site Scripting über Seitenparameter
    Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
    Schweregrad : Hoch

    Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde zum 30. September 2021 geschlossen. Deinstallieren und löschen.

    22. Kopfzeilen-Fußzeilen-Code-Manager

    Plugin: Header Footer Code Manager
    Schwachstelle : Admin+ SQL-Injektionen
    Gepatcht in Version : 1.1.14
    Schweregrad : Mittel

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.1.14 aktualisieren.

    23. wpDiscuz

    Plugin: wpDiscuz
    Schwachstelle : Willkürliches Hinzufügen/Bearbeiten/Löschen von Kommentaren über CSRF
    Gepatcht in Version : 7.3.4
    Schweregrad : Mittel

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 7.3.4 updaten.

    24. 3D-Druck Lite

    Plugin: 3D-Druck Lite
    Sicherheitslücke : Reflected Cross-Site Scripting
    Gepatcht in Version : 1.9.1.6
    Schweregrad : Hoch

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.9.1.6 updaten.

    25. Asgaros-Forum

    Plugin: Asgaros-Forum
    Schwachstelle : Umleitungslöschung über CSRF
    Gepatcht in Version : 1.15.13
    Schweregrad : Hoch

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.15.13 aktualisieren.

    26. WP-SEO-Weiterleitung 301

    Plugin: WP SEO-Weiterleitung 301
    Schwachstelle : Umleitungslöschung über CSRF
    Gepatcht in Version : 2.3.2
    Schweregrad : Mittel

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.3.2 updaten.

    27. WCFM – Frontend-Manager für WooCommerce

    Plugin: WCFM – Frontend-Manager für WooCommerce
    Schwachstelle : Kunde/Abonnent+ SQL Injection
    Gepatcht in Version : 6.5.12
    Schweregrad : Hoch

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 6.5.12 aktualisieren.

    28. Affiliate-Manager

    Plugin: Affiliate-Manager
    Schwachstelle : Admin+ SQL-Injektionen
    Gepatcht in Version : 2.8.7
    Schweregrad : Mittel

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.8.7 updaten.

    29. Ähnliche Beiträge

    Plugin: Ähnliche Beiträge
    Schwachstelle : Admin+ Willkürliche Ausführung von PHP-Code
    Gepatcht in Version : 3.1.6
    Schweregrad : Hoch

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.1.6 updaten.

    30. WooCommerce-Produkttabelle

    Plugin: WooCommerce-Produkttabelle
    Sicherheitslücke : Reflected Cross-Site Scripting
    Gepatcht in Version : 1.0.4
    Schweregrad : Mittel

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.0.4 aktualisieren.

    31. Rabattmanager für Produkte

    Plugin: Rabattmanager für Produkte
    Sicherheitslücke : Reflected Cross-Site Scripting
    Gepatcht in Version : 3.4.5
    Schweregrad : Hoch

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.4.5 updaten.

    32. Zeugnisersteller

    Plugin: Testimonial Builder
    Schwachstelle : Admin+ Stored Cross-Site Scripting
    Gepatcht in Version : 1.6.0
    Schweregrad : Niedrig

    Die Sicherheitslücke ist gepatcht, daher sollten Sie auf Version 1.6.0 aktualisieren.

    33. Brizy

    Plugin: Brizy
    Schwachstelle : Falsche Autorisierung zum Hochladen von Änderungen
    Gepatcht in Version : 2.3.12
    Schweregrad : Hoch

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.3.12 updaten.

    Plugin: Brizy
    Schwachstelle : Authentifiziertes Stored Cross-Site Scripting
    Gepatcht in Version : 2.3.12
    Schweregrad : Mittel

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.3.12 updaten.

    Plugin: Brizy
    Schwachstelle : Authentifizierter Datei-Upload und Path Traversal
    Gepatcht in Version : 2.3.12
    Schweregrad : Hoch

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.3.12 updaten.

    34. Bunte Kategorien

    Plugin: Bunte Kategorien
    Schwachstelle : Aktualisierung willkürlicher Farben über CSRF
    Gepatcht in Version : 2.0.15
    Schweregrad : Mittel

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.0.15 updaten.

    35. WP Schnellster Cache

    Plugin: WP Schnellster Cache
    Schwachstelle : Subscriber+ SQL Injection
    Gepatcht in Version : 0.9.5
    Schweregrad : Hoch

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 0.9.5 updaten.

    Plugin: WP Schnellster Cache
    Schwachstelle : CSRF für Stored Cross-Site Scripting
    Gepatcht in Version : 0.9.5
    Schweregrad : Hoch

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 0.9.5 updaten.

    36. Geschäftsführer

    Plugin: Business-Manager
    Schwachstelle : Admin+ Stored Cross-Site Scripting
    Gepatcht in Version : Keine bekannte Lösung
    Schweregrad : Niedrig

    Diese Schwachstelle wurde NICHT gepatcht. Deinstallieren und löschen Sie das Plugin, bis ein Patch veröffentlicht wird.

    37. Jobbörse Vanila

    Plugin: Stellenbörse Vanila
    Schwachstelle : Admin+ Stored Cross-Site Scripting
    Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
    Schweregrad : Niedrig

    Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 13. Oktober 2021 geschlossen. Deinstallieren und löschen.

    38. WpGenius-Jobliste

    Plugin: WpGenius-Jobliste
    Schwachstelle : Admin+ Stored Cross-Site Scripting
    Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
    Schweregrad : Niedrig

    Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 13. Oktober 2021 geschlossen. Deinstallieren und löschen.

    39. Job-Manager

    Plugin: Job-Manager
    Schwachstelle : Admin+ Stored Cross-Site Scripting
    Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
    Schweregrad : Niedrig

    Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 13. Oktober 2021 geschlossen. Deinstallieren und löschen.

    40. Jobportal

    Plugin: Jobportal
    Schwachstelle : Admin+ Stored Cross-Site Scripting
    Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
    Schweregrad : Niedrig

    Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 13. Oktober 2021 geschlossen. Deinstallieren und löschen.

    41. MyBB Cross-Poster

    Plugin: MyBB Cross-Poster
    Schwachstelle : Admin+ Stored Cross-Site Scripting
    Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
    Schweregrad : Niedrig

    Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 13. Oktober 2021 geschlossen. Deinstallieren und löschen.

    42. KJM-Admin-Hinweise

    Plugin: KJM-Admin-Hinweise
    Schwachstelle : Falsche Autorisierung zum Hochladen von Änderungen
    Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
    Schweregrad : Niedrig

    Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 13. Oktober 2021 geschlossen. Deinstallieren und löschen.

    43. HAL

    Plugin: HAL
    Schwachstelle : Admin+ Stored Cross-Site Scripting
    Gepatcht in Version : 2.2
    Schweregrad : Niedrig

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.2 aktualisieren.

    44. Bio-Box des Autors

    Plugin: Autor Bio Box
    Schwachstelle : Admin+ Stored Cross-Site Scripting
    Gepatcht in Version : 3.4.0
    Schweregrad : Niedrig

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.4.0 aktualisieren.

    45. Wordpress + Microsoft Office 365

    Plugin: WordPress + Microsoft Office 365
    Schwachstelle : Nicht authentifiziertes gespeichertes Cross-Site-Scripting
    Gepatcht in Version : 15.4
    Schweregrad : Kritisch

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 15.4 aktualisieren.

    46. ​​YOP-Umfrage

    Plugin: YOP-Umfrage
    Schwachstelle : Author+ Stored Cross-Site Scripting via Options Module
    Gepatcht in Version : 6.3.1
    Schweregrad : Mittel

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 6.3.1 updaten.

    Plugin: YOP-Umfrage
    Schwachstelle : Author+ Stored Cross-Site Scripting via Preview Module
    Gepatcht in Version : 6.3.1
    Schweregrad : Mittel

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 6.3.1 updaten.

    47. Indeed Job Importeur

    Plugin: Indeed Job Importer
    Schwachstelle : Admin+ Stored Cross-Site Scripting
    Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
    Schweregrad : Hoch

    Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 14. Oktober 2021 geschlossen. Deinstallieren und löschen.

    48. MPL-Publisher – Veröffentlichen Sie Ihr Buch und E-Book selbst

    Plugin: MPL-Publisher – Veröffentlichen Sie Ihr Buch und E-Book selbst
    Schwachstelle : Admin+ Stored Cross-Site Scripting
    Gepatcht in Version : Keine bekannte Lösung
    Schweregrad : Niedrig

    Diese Schwachstelle wurde NICHT gepatcht. Deinstallieren und löschen Sie das Plugin, bis ein Patch veröffentlicht wird.

    49. JobBoardWP

    Plugin: JobBoardWP
    Schwachstelle : Falsche Autorisierung zum Hochladen von Änderungen
    Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
    Schweregrad : Niedrig

    Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 14. Oktober 2021 geschlossen. Deinstallieren und löschen.

    Sicherheitslücken im WordPress-Design

    1. Moderner Squaretype-Blog

    Thema: Moderner Squaretype-Blog
    Schwachstelle : Offenlegung nicht authentifizierter privater/geplanter Posts
    Gepatcht in Version : 3.0.4
    Schweregrad : Mittel

    Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.0.4 updaten.

    So schützen Sie Ihre WordPress-Website vor anfälligen Plugins und Themes

    Wie Sie diesem Bericht entnehmen können, werden jede Woche viele neue Sicherheitslücken in WordPress-Plugins und -Themen offengelegt. Wir wissen, dass es schwierig sein kann, über jede gemeldete Schwachstellenoffenlegung auf dem Laufenden zu bleiben, daher macht es das iThemes Security Pro-Plugin einfach sicherzustellen, dass auf Ihrer Website kein Design, Plugin oder keine WordPress-Kernversion mit einer bekannten Schwachstelle ausgeführt wird.

    1. Scannen Sie täglich nach bekannten Sicherheitslücken auf Websites

    Das iThemes Security Pro-Plugin scannt nach dem Hauptgrund, warum WordPress-Seiten gehackt werden: veraltete Plugins und Themes mit bekannten Schwachstellen.

    2. Automatisches Update auf sichere Versionen

    Die Versionsverwaltungsfunktion in iThemes Security Pro integriert sich in den Site-Scan, um Ihre Site zu schützen. Anfällige Themes, Plugins und WordPress-Kernversionen werden automatisch für Sie aktualisiert.

    3. Dateiänderungen überwachen

    Der Schlüssel zum schnellen Erkennen einer Sicherheitsverletzung ist die Überwachung von Dateiänderungen auf Ihrer Website. Die Dateiänderungserkennungsfunktion in iThemes Security Pro scannt die Dateien Ihrer Website und benachrichtigt Sie, wenn Änderungen auf Ihrer Website auftreten.

    Holen Sie sich iThemes Security Pro mit Website-Überwachung rund um die Uhr

    iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet mehr als 50 Möglichkeiten zum Sichern und Schützen Ihrer Website vor gängigen WordPress-Sicherheitslücken. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website zusätzliche Sicherheitsebenen hinzufügen.

    • Site-Scanner für Plugin- und Theme-Schwachstellen
    • Erkennung von Dateiänderungen
    • Echtzeit-Sicherheits-Dashboard für Websites
    • WordPress-Sicherheitsprotokolle
    • Vertrauenswürdige Geräte
    • reCaptcha
    • Brute-Force-Schutz
    • Zwei-Faktor-Authentifizierung
    • Magische Login-Links
    • Privilegieneskalation
    • Kompromittierte Passwörter prüfen und ablehnen

    Holen Sie sich iThemes Security Pro