Sicherheitsupdate für WordPress-Plugin „WP Fastest Cache“

Das Plugin WP Fastest Cache verkürzt die Ladezeiten von Websites mit dem beliebten Content Management System (CMS) WordPress, bot aber Angriffsmöglichkeiten für Cross-Site-Scripting (XSS) und SQL Injection. Deshalb gibt es jetzt für die mehr als eine Million Nutzer des Cache-Plugins ein Update zum Download: WP Fastest Cache 0.9.5 entschärft die in allen früheren Versionen vorhandenen Sicherheitsprobleme. Wer das Plugin nutzt und noch nicht aktualisiert hat, sollte das jetzt möglichst bald nachholen. Die Entdecker der Sicherheitslücken stufen das Risiko als "hoch" bis "kritisch" ein. Die abgesicherte neue Version steht seit letzter Woche auf der Download-Site von WP Fastest Cache zum kostenlosen Download bereit. Zwei Wege zum unbefugten Zugriff In einem Blogeintrag der Firma Jetpack finden sich Details zu den beiden Schwachstellen, die interessanterweise ein und dieselbe CVE-ID (CVE-2021-24869), aber unterschiedliche Beschreibungen und CVSS-Scores (7.7/"High" bzw. 9.6/"Critical") haben. Der Score 7.7 bezieht sich auf eine SQL-Injection-Lücke, die aber nur unter bestimmten Voraussetzungen genutzt werden kann: Der Angreifer muss als "normaler" Nutzer angemeldet sein und in der angegriffenen WP-Installation muss gleichzeitig auch das Plugin "Classic Editor" installiert sein. Wenn diese Voraussetzungen vorliegen, ist das Abgreifen sensibler Daten wie etwa Nutzernamen in Kombination mit Passwort-Hashes möglich. Die zweite, mit 9.6 bewertete Angriffsmöglichkeit besteht auch ohne diese Einschränkungen, braucht dafür aber eine Nutzerinteraktion mit der Website: Im Rahmen eines sogenannten Cross-Site-Request-Forgery-Angriffs [...]

2021-10-19T07:08:12+02:00Oktober 19th, 2021|Coding, PHP, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdate für WordPress-Plugin „WP Fastest Cache“

Drupal: Angriffe auf Admin-Accounts

Durch eine Sicherheitslücke in der Bibliothek des CKEditor werden Admin-Konten von Drupal angreifbar. Wenn Sie auf einer mit dem Content Management System (CMS) Drupal erstellten Website die Drittanbieter-Bibliothek WYSIWYG CKEditor für registrierte Seitennutzer nutzen, sollten Sie das CMS jetzt dringend auf den aktuellen Stand bringen. Vom Drupal-Team wird die Sicherheitslücke in der Bibliothek als "moderat kritisch" eingestuft. Davon betroffen sind die Versionen Drupal 8.7.x und 8.8.x. Die Ausgaben 8.7.12 und 8.8.4 sind abgesichert, wie man einer Meldung der Entwickler entnehmen kann. Mit den aktuellen Versionen kommt jeweils auch die reparierte CKEditor-Version 4.14 mit. Benutzer von Drupal 7 sollten dabei auch sicherstellen, dass diese CKEditor-Version auch in dem System installiert ist. Kriminelle Angreifer, die mit der Bibliothek Content für eine verwundbare Website erstellen können, könnten über die Schwachstelle unter Umständen auch Admin-Konten über XSS-Attacken angreifen.

2020-03-20T19:34:17+02:00März 20th, 2020|Allgemein, CMS, Sicherheit|Kommentare deaktiviert für Drupal: Angriffe auf Admin-Accounts
Nach oben