Sicherheitslücke bei WordPress-Plugin: Popup Builder by Sygnoos

Aktuell wurde uns eine Sicherheitslücke bei dem WordPress Plugin Popup Builder by Sygnoos gemeldet.
Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

Das WordPress Plugin:  Popup Builder by Sygnoos

Angebote, Rabatte oder wofür man sonst die Aufmerksamkeit seine Besucher gewinnen will. Mit dem Popup Builder habt ihr zahlreiche Möglichkeiten. Wo das Popup auf dem Userscreen erscheinen soll oder wann es erscheinen soll. Wie soll es animiert sein, oder ob es regelmäßig wiederholt auftauchen soll und noch mehr. Viele Funktionen in einem leicht zu bedienenden Plugin, das laut WordPress.org aktuell 100.000+ aktive Installationen zählt.

Bekannt geworden am 13.03.2020

Sicherheitslücken: Unauthenticated Stored Cross-Site Scripting (XSS) and others

Durch eine der Lücken kann ein nicht authentifizierter Angreifer bösartigen JavaScript Code in ein beliebiges veröffentlichtes Popup injezieren, welcher dann bei jedem Laden des Popups ausgeführt wird. Durch eine andere Lücke kann ein beliebiger eingeloggter Nutzer trotz minimaler Zugriffsrechte (bspw. schlicht ein Subscriber) eine Liste aller Email-Subscriber herunterladen, also Kundendaten stehlen. Außerdem können System-Informationen ausgelesen werden oder verschiedene Features des Plugins manipuliert werden.

Die Sicherheitslücken können geschlossen werden, indem das Plugin auf die neueste Version (3.64.1) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10127
Mehr Infos (Englisch) unter:
https://www.wordfence.com/blog/2020/03/vulnerabilities-patched-in-popup-builder-plugin-affecting-over-100000-sites/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10196
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10195

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

Bekannt geworden am 17.02.2020

Sicherheitslücke: SQL injection via PHP Deserialization

Bei SQL-Injection (dt. SQL-Einschleusung) wird eine Sicherheitslücke in Zusammenhang mit SQL-Datenbanken ausgenutzt. Durch mangelnde Sicherheitsüberprüfung von Benutzereingaben kann ein Angreifer versuchen, eigene Datenbankbefehle einzuschleusen. Dadurch können schließlich Daten abgegriffen und verändert, oder sogar die Kontrolle über den Server erlangt werden.
Hier besteht sie durch PHP Deserialization bei der attachementUrl POST Variable. So kann ein Angreifer einen WordPress-Admin Account anlegen und in der Folge bspw. PHP-Code ausführen. Die Gefahr reicht von Datenverlust bis zur kompletten Übernahme der Instanz.
Die Sicherheitslücke besteht bis zu Versionen ab 3.x. Wir empfehlen ein Update auf die neueste Version (3.61.1) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10073
Mehr Infos (Englisch) unter: https://zeroauth.ltd/blog/2020/02/16/cve-2020-9006-popup-builder-wp-plugin-sql-injection-via-php-deserialization/

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

Bekannt geworden am 06.08.2019:

Sicherheitslücke: SQLI

Bei SQL-Injection (dt. SQL-Einschleusung) wird eine Sicherheitslücke in Zusammenhang mit SQL-Datenbanken ausgenutzt. Durch mangelnde Sicherheitsüberprüfung von Benutzereingaben kann ein Angreifer versuchen, eigene Datenbankbefehle einzuschleusen. Dadurch können schließlich Daten abgegriffen und verändert, oder sogar die Kontrolle über den Server erlangt werden.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (3.45) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9495

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.