Kritische Lücken in PHP Everywhere erlauben WordPress-Übernahme

Durch eine kritische Sicherheitslücke in dem Plugin PHP Everywhere hätten Angreifer beliebigen Code in WordPress-Instanzen ausführen können. Ein Update des Plugins steht zum Update bereit. Sicherheitslücken im Plug-in PHP Everywhere, das auf über 30.000 WordPress-Seiten installiert wurde, erlauben Angreifern das Einschleusen von Schadcode. Sie könnten dadurch die WordPress-Seiten übernehmen. Dazu reichen die Rechte eines normalen Nutzers aus, bestätigt das IT-Sicherheitsunternehmen Wordfence. Die Plug-in-Entwickler haben die Lücken jetzt mit einer aktualisierten Version geschlossen. Es gab mehrere Sicherheitslücken in dem Plugin Insgesamt listen die Forscher in der Sicherheitsmeldung dazu sogar drei Sicherheitslücken auf. Die erste machte es allen angemeldeten Nutzern möglich, über Shortcodes beliebigen Code einzuschleusen (CVE-2022-24663, CVSS 9.9, Risiko kritisch). Diese Shortcodes sind Funktionen, die WordPress zum Beispiel in Tabellen oder Bildergalerien anbietet. So hätten Angreifer zum Beispiel mit dem Shortcode „php_everywhere“ beliebiges PHP ausführen lassen und damit die WordPress-Installation übernehmen können: „php_everywhere]<beliebiges PHP>[/php_everywhere“. Für das Ausnutzen der zweiten Schwachstelle waren allerdings Contributor-Rechte nötig. Damit konnten Angreifer einen Post erstellen, beliebigen PHP-Code in die PHP Everywhere Metabox einfügen und den Code dann durch das Öffnen der Vorschau ausführen lassen köännen (CVE-2022-24664, CVSS 9.9, kritisch). Die dritte Sicherheitslücke steckt in PHP Everywheres  Block des Standard-Editors von PHP Gutenberg, den Nutzer mit Contributor-Rechten genauso missbrauchen könnten (CVE-2022-24665, CVSS 9.9, kritisch). Das Update sollte zügig installiert werden Es ist noch nicht klar, [...]

2022-02-10T11:51:03+02:00Februar 10th, 2022|CSS, PHP, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Kritische Lücken in PHP Everywhere erlauben WordPress-Übernahme
Weiterlesen

Auch Google will IndexNow jetzt testen

Microsoft und Yandex haben mit IndexNow eine Initiative zur Entlastung von Suchmaschinen gestartet. Google steht dem Projekt mittlerweile wohl offen gegenüber, denn der Suchmaschinenriese will IndexNow jetzt auch testen. Zunächst hatten sich nur Microsoft und Yandex für diese Initiative zusammengetan, mit der Webmaster neue Inhalte einfacher an die Suchmaschinen melden können. Außerdem soll mit dem Protokoll die Indizierung der Inhalte beschleunigt werden, denn meist bilden die Crawler bei der zügigen Indizierung neuer Inhalte den Flaschenhals. Deshalb soll das neue Protokoll an dieser Stelle für Entlastung sorgen. Eine Lösung für WordPress ist in der Diskussion Ein weiterer geeigneter Partner für IndexNow könnte auch das meistgenutzte CMS der Welt WordPress sein. Mit diesem CMS arbeiten momentan knapp 43 Prozent aller Websites . Deshalb wäre es für das Projekt recht wichtig, dass auch das führende CMS bei IndexNow mit dabei ist. Für WordPress hat Microsoft schon eine Code-Lösung vorgeschlagen, aber einem der leitenden Entwickler bei WordPress scheint es ni8cht zu gefallen, dass der Code in den WordPress-Core integriert werden soll – er schlägt stattdessen eine Plugin-Lösung vor…

2021-11-12T10:20:16+02:00November 12th, 2021|CMS, Coding, Webwerkzeuge|Kommentare deaktiviert für Auch Google will IndexNow jetzt testen
Weiterlesen

Sicherheitsupdate für WordPress-Plugin „WP Fastest Cache“

Das Plugin WP Fastest Cache verkürzt die Ladezeiten von Websites mit dem beliebten Content Management System (CMS) WordPress, bot aber Angriffsmöglichkeiten für Cross-Site-Scripting (XSS) und SQL Injection. Deshalb gibt es jetzt für die mehr als eine Million Nutzer des Cache-Plugins ein Update zum Download: WP Fastest Cache 0.9.5 entschärft die in allen früheren Versionen vorhandenen Sicherheitsprobleme. Wer das Plugin nutzt und noch nicht aktualisiert hat, sollte das jetzt möglichst bald nachholen. Die Entdecker der Sicherheitslücken stufen das Risiko als "hoch" bis "kritisch" ein. Die abgesicherte neue Version steht seit letzter Woche auf der Download-Site von WP Fastest Cache zum kostenlosen Download bereit. Zwei Wege zum unbefugten Zugriff In einem Blogeintrag der Firma Jetpack finden sich Details zu den beiden Schwachstellen, die interessanterweise ein und dieselbe CVE-ID (CVE-2021-24869), aber unterschiedliche Beschreibungen und CVSS-Scores (7.7/"High" bzw. 9.6/"Critical") haben. Der Score 7.7 bezieht sich auf eine SQL-Injection-Lücke, die aber nur unter bestimmten Voraussetzungen genutzt werden kann: Der Angreifer muss als "normaler" Nutzer angemeldet sein und in der angegriffenen WP-Installation muss gleichzeitig auch das Plugin "Classic Editor" installiert sein. Wenn diese Voraussetzungen vorliegen, ist das Abgreifen sensibler Daten wie etwa Nutzernamen in Kombination mit Passwort-Hashes möglich. Die zweite, mit 9.6 bewertete Angriffsmöglichkeit besteht auch ohne diese Einschränkungen, braucht dafür aber eine Nutzerinteraktion mit der Website: Im Rahmen eines sogenannten Cross-Site-Request-Forgery-Angriffs [...]

2021-10-19T07:08:12+02:00Oktober 19th, 2021|Coding, PHP, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdate für WordPress-Plugin „WP Fastest Cache“
Weiterlesen

In Firefox 69 wird Adobes Flash deaktiviert sein

Am 3. September dieses Jahres soll der Browser Firefox 69 erscheinen, bei dem das Flash-Plugin standardmäßig deaktiviert sein wird. Das kann man einem Bugzilla-Ticket entnehmen, das von Jim Mathies, Senior Engineering Manager bei Mozilla, erstellt wurde. Schon im Sommer 2017 hatte Hersteller Mozilla angekündigt, das im Grunde nicht mehr nötige Flash schrittweise aus seinem Browser zu entfernen. Das Flash-Plugin muss ab Version 69 also aktiviert werden, ist aber noch nutzbar. Wenn Adobe dann aber "Ende 2020 die Auslieferung von Sicherheitsupdates für Flash einstellt, wird Firefox das Plugin nicht mehr ausführen", erklärt Mozillas Roadmap. Nächstes Jahr ist es mit Flash in Firefox ganz vorbei Anfang 2020 ist dann zumindest für Privatanwender endgültig Schluss mit Flash im Firefox. Enterprise-Kunden können Flash dann noch bis Ende 2020 weiter nutzen. Wer den Firefox ESR benutzt dürfte sich wohl dann mit Firefox 76 von Flash im Firefox verabschieden müssen, schreibt Firefox-Experte Sören Hentzschel. Das Flash-Plugin gehört zu dem letzten NPAPI-Plugins, die der Firefox-Browser überhaupt noch unterstützt, denn die NPAPI-Schnittstelle ist veraltet und stellt ein deutliches Sicherheitsrisiko dar, unter anderem, weil diese Plugins nicht in einer Sandbox laufen. Konkurrent Google hatte sich schon Ende 2013 von NPAPI verabschiedet und die Schnittstelle auch kurz darauf in seinem Chrome-Browser abgeschaltet, und auch Firefox für Android unterstützt schon seit [...]

2019-01-14T20:22:59+02:00Januar 14th, 2019|Browser, Coding, HTML, Webwerkzeuge|Kommentare deaktiviert für In Firefox 69 wird Adobes Flash deaktiviert sein
Weiterlesen

Editor Vim 8.0 veröffentlicht

Nach mehr als zehn Jahren haben die Entwickler des Editors Vim (Vi IMproved) jetzt die neue Hauptversion Vim 8.0 veröffentlicht. Neu in Vim 8.0 sind Features wie die asynchrone Ein- und Ausgabe über sogenannte Channels für die Kommunikation zwischen Vim und externen Prozessen über Pipes und Sockets, Partials – also Funktionsreferenzen mit vorgegebenen Argumenten. Außerdem sind Fenster-IDs neu hinzugekommen, ebenso die drei Vimscript-Datentypen Special, Job und Channel, und darüber hinaus assert-Funktionen für Style-Tests. Viele der Änderungen betreffen Plugin-Entwickler. Weil neu entwickelte Plug-ins bei bestimmten Funktionen nicht mit den älteren Versionen des Editors laufen können, wurde beschlossen, mit dem neuen Release einen großen Versionssprung zu vollziehen. Zu den neuen Fähigkeiten des Editors gehört auch, dass Lua jetzt als benutzbare Skriptsprache aufgenommen wurde. Auch die Unterstützung für Lambda-Funktionen bzw. Closures haben die Entwickler mit Vim 8.0 erweitert. So gibt es unter anderem inzwischen mit test-functions eine passende Umgebung, um Funktionen und Skripte testen zu können Weiterführende Informationen zum neuen Release gibt es in der Dokumentation.

2016-09-13T10:57:06+02:00September 13th, 2016|Allgemein, CSS, HTML|Kommentare deaktiviert für Editor Vim 8.0 veröffentlicht
Weiterlesen

Mobilversionen von Internetseiten werden immer wichtiger

Wenn sie ihre eigenen Internetseiten mit einem Smartphone aufrufen, ist das für viele Seitenbetreiber eine Art Offenbarungseid. Je nach verwendetem Browser sieht man nur einen Bruchteil der Seite (die ersten anderthalb Einträge im Horizontalmenü) oder alles auf einmal (aber so klein, dass man es kaum lesen kann). Und versuchen Sie mal, da einen Link durch Antippen mit dem Finger zu treffen – das braucht viele Versuche oder aber eine Zweifingergeste, um den Bildschirmausschnitt mit dem gewünschten Link darin erst mal zu vergrößern, damit man im zweiten Schritt dann auch erfolgreich draufklicken kann. Auch so mancher Wordpress-Blogbetreiber hat bisher noch kein Mobil-Plugin zugeschaltet. Sei es wegen der schwachen Konfigurierbarkeit des WP-Mobile Packs oder wegen der Sorge, dass Piwik oder Google Analytics Besuche über die Mobilversion nicht mitbekommen könnten. Deshalb müssen sich die Besucher dann auch weiterhin durch für die kleinen Bildschirme der Mobilgeräte völlig ungeeignete Internetseiten quälen – und rufen solche Angebote nur noch auf, wenn es absolut keine Alternative gibt. Da lacht die Konkurrenz – und so mancher Interessent wird nicht zum Kunden, weil die angebotene Internetseite einem aus der immer größer werdenden Zahl der Smartphone-Surfer keine Chance lässt…

2015-06-14T12:21:35+02:00Juni 14th, 2015|Allgemein, HTML|Kommentare deaktiviert für Mobilversionen von Internetseiten werden immer wichtiger
Weiterlesen

Phishing-Emails für WordPress-Administratoren

Von der Sicherheitsfirma Sukuri  kommt eine aktuelle Warnung vor Phishing-Mails an WordPress-Administratoren, die diese verleiten sollen, ein Plugin zu installieren, dass an die Besucher dieser WordPress-Seiten Schadsoftware verteilt. Vorgeblich bietet die E-Mail die Pro-Version des beliebten Plugins All in One SEO Pack kostenlos an. Wer aber auf den Download-Link in dieser Email klickt, landet nicht etwa auf der offiziellen WordPress-Plugin-Seite, sondern auf einer offensichtlich von den Spammern infizierten Domain in Australien (.com.au) oder Brasilien (.com.br). Spätestens an dieser Stelle sollten die Admins eigentlich stutzig werden. Nach Sucuri haben einige Admins dieses bösartige Plugin tatsächlich installiert, was dann dazu führte, dass der Schadcode eine Backdoor auf dem Server öffnete und die Startdatei index.php  des infizierten Blogs austauschte. Von dem Moment an verteilten die betroffenen WordPress-Installationen Schadsoftware an ihre Besucher. Wegen der enorm großen Verbreitung als CMS oder Blogsoftware ist insbesondere WordPress immer wieder ein beliebtes Ziel für Hacker, die probieren, die Seiten anderer als Spamschleudern oder für DDoS-Angriffe zu missbrauchen. Bleiben Sie bitte vorsichtig!

2018-01-27T21:20:23+02:00Dezember 5th, 2013|Allgemein, CMS, PHP|Kommentare deaktiviert für Phishing-Emails für WordPress-Administratoren
Weiterlesen

Node.js-Plugin für Visual Studio

Microsoft hat jetzt auch ein Plugin für Visual Studio vorgestellt, mit dem Node.js-Entwickler die Funktionen der Entwicklungsumgebung in ihren Anwendungen nutzen können. Die unter der Apache-Lizenz stehenden Node.js Tools for Visual Studio (NTVS) gibt ihnen Zugriff auf die "intelligente" Codevervollständigung IntelliSense und auf die Debugging-, Profiling- und Deployment-Funktionen von Visual Studio. Das Plug-in besitzt eine grafische Benutzeroberfläche für den Node Package Manager, über die man aus Visual Studio heraus Bibliotheken für das serverseitige JavaScript-Framework aus dem npm-Repository laden kann. Die Anbindung an Microsofts Cloud-Plattform Windows Azure ist auch bereits gegeben.

2013-11-22T20:17:11+02:00November 22nd, 2013|Javascript|Kommentare deaktiviert für Node.js-Plugin für Visual Studio
Weiterlesen
Nach oben