Sicherheitslücke bei WordPress-Plugin: Email Subscribers & Newsletters
Aktuell wurde eine Sicherheitslücke bei dem WordPress Plugin Email Subscribers & Newsletters gemeldet.
Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.
Das WordPress-Plugin: Email Subscribers & Newsletters by Icegram
Email Subscribers ist ein umfassendes Newsletter-Plugin, mit dessen Hilfe man Leads sammeln und automatisierte Emails zu neuen Blogposts versenden kann. Außerdem ist es damit möglich, Broadcasts zu erstellen, zu verteilen und all dies auch zentral mit nur einem Plugin zu verwalten.
Das Plugin zählt laut WordPress.org aktuell über 100.000 aktive Nutzer.
Veröffentlicht am 18.07.2020:
Sicherheitslücken: CSRF & Authenticated SQL Injection
Durch Ausnutzen der Cross-Site Request Forging – Lücke können beliebig Emails über ein Adminkonto der betroffenen Seite versendet werden. Dazu muss dieser nur auf einen zuvor manipulierten Link klicken.
In der es_newsletters_settings_callback() –Funktion der class-es-newsletters.php besteht eine SQL-Injection-Lücke. Der Eintrag bei $broadcast_id wird nicht ausreichend überprüft bevor er in einem SQL-Query zur Anwendung kommt. Dadurch kann ein Admin mit einer dazu entworfenen Anfrage auch sensible Daten von der WordPress-Datenbank abgreifen. Wie immer empfehlen wir euch, diese Lücken möglichst bald zu schließen.
Diese Sicherheitslücken können geschlossen werden, indem das Plug-In auf die neueste Version (4.5.1) aktualisiert wird.
Quellen: wpvulndb.com/vulnerabilities/10321 und wpvulndb.com/vulnerabilities/10322
Mehr dazu (Englisch): https://de.tenable.com/security/research/tra-2020-44-0
Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.
Veröffentlicht am 13.11.2019:
Sicherheitslücke: SQLI, CSFR und weitere
Das Team von WordFence hat hier gleich mehrere Sicherheitslücken im Plugin offenbart. Genaueres erfahrt ihr in den genannten Quellen. Da hier gleich mehrere ernsthafte Lücken entdeckt wurden, empfehlen wir dringend ein Update. Seitens Icegram wurden die Lücken zügig durch Updates geschlossen. Alle Sicherheitslücken können geschlossen werden, indem das Plug-In auf die neueste Version (4.3.1) aktualisiert wird.
Quellen:
https://wpvulndb.com/vulnerabilities/9946
https://wpvulndb.com/vulnerabilities/9947
Veröffentlicht am 14.08.2019:
Sicherheitslücke: Cross-Site-Scripting / XSS
Cross-Site-Scripting (XSS; deutsch Webseitenübergreifendes Skripting) bezeichnet das Ausnutzen einer Computersicherheitslücke in Webanwendungen, indem Informationen aus einem Kontext, in dem sie nicht vertrauenswürdig sind, in einen anderen Kontext eingefügt werden, in dem sie als vertrauenswürdig eingestuft werden. Aus diesem vertrauenswürdigen Kontext kann dann ein Angriff gestartet werden. Ziel ist es meist, an sensible Daten des Benutzers zu gelangen, um beispielsweise seine Benutzerkonten zu übernehmen (Identitätsdiebstahl).
In diesem Fall ist es einem Angreifer möglich, mit dem „esfpx_name“ POST -Parameter schädlichen JavaScript-Code über das öffentliche Subscribe-Formular einzupflanzen.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (4.1.7) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9508
Veröffentlicht am 23.07.2019:
Sicherheitslücke: SQL Injection
SQL-Injection (dt. SQL-Einschleusung) bezeichnet das Ausnutzen einer Sicherheitslücke in Zusammenhang mit SQL-Datenbanken, die durch mangelnde Maskierung oder Überprüfung von Metazeichen in Benutzereingaben entsteht. Der Angreifer versucht dabei, über die Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Datenbankbefehle einzuschleusen. Sein Ziel ist es, Daten auszuspähen, in seinem Sinne zu verändern, die Kontrolle über den Server zu erhalten oder einfach größtmöglichen Schaden anzurichten.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (4.1.8) aktualisiert wird.
In diesem Fall ist es einem Angreifer möglich, willkürlichen SQL-Code auszuführen, wodurch das Risiko maximal ist.
Quelle: https://wpvulndb.com/vulnerabilities/9467
Falls du über den HostPress SecurePlan verfügst, erhältst du Sicherheitsupdates dieser Art unmittelbar nach Bekanntgabe der Sicherheitslücke.
Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– fast 10.000 frei verfügbare Themes und über 55.000 verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.
Mehr beliebte Beiträge zu WordPress:
Plugin Spotlight: Better Search Replace
WordPress Plugin-Spotlight: Better Search Replace Inhaltsverzeichnis: Better Search Replace -…
WP-Cron deaktivieren für mehr Performance – 1-Klick-Lösung und Tutorial
WordPress Cronjobs (per wp-cron.php) sind eine integrierte Funktion, mit der sich zeitgesteuerte…
Welche Folgen können denn entstehen bzw. wie bemerkt man es? Ich habe das Problem, dass seit dem letzten Update einer von mir betreuten Webseite mit diesem Plugin, E-Mails zwar erfolgreich gesendet werden, aber nicht mehr bei den Empfängern ankommen.
Kann das evtl etwas damit zu tun haben? Im Support des Plugin gibt es zwei weitere User, die von diesem Problem berichten.
Die Kontrolle über den Server zu erhalten….klingt schon in die Richtung.
Hallo Sigrun,
zunächst mal ist es wichtig, dass das Plugin auf die neueste Version aktualisiert wird. Da wir weiter keine Details zu deiner Situation haben, empfehlen wir dir, dich an den Support der Plugin-Entwickler zu wenden.
Alles Gute und viel Erfolg, Johannes von HostPress.