Postman SMTP, Appointments, Flickr Gallery und RegistrationMagic

Weitere Sicherheitslücken in WordPress Plugins aufgetaucht

Die Meldungen über Backdoors und XSS-Lücken in WordPress Plugins reissen nicht ab. Nun sind weitere Sicherheitslücken in mehr oder weniger verbreiteten Erweiterungen bekannt geworden. Darunter befindet sich auch ein relativ populäres WP Plugin: Postman SMTP wurde sogar direkt aus dem Plugin Repository gelöscht. Wie du am besten vorgehst, erfährst du in diesem Artikel.

Welche Plugins sind von den Sicherheitslücken betroffen?

Postman SMTP

In dieser Auflistung das prominenteste Plugin (über 100.000 Installationen) und noch dazu ein Härtefall: Bereits Ende Juni wurden offenbar Details durch einen unbekannten Sicherheitsforscher offengelegt, die auf erhebliche Sicherheitslücken hinwiesen (cross-site scripting Schwachstellen). Inklusive proof of concept. Da bis Anfang Oktober kein Kontakt zum Pluginautor hergestellt wurden konnte, wurde die Erweiterung aus dem offiziellen Plugin Repository entfernt. Mittlererweile konnte angeblich ein Kontakt hergestellt werden, es bleibt also abzuwarten ob künftig eine neue Version veröffentlicht wird.

Wichtig: Wenn du dieses Plugin nutzt, solltest du es sofort deinstallieren und aus deinem Pluginordner löschen.

PHP-Backdoor in drei WordPress Plugins

Von einer Lücke die Angreifern das Errichten einer Backdoor ermöglicht sind nachfolgend aufgelistete Plugins betroffen. Über diese können beliebige Dateien auf dem Webserver der betroffenen WordPress Installation hochgeladen und ausgeführt werden.

Alle drei Plugins wurden bereits gepatcht und sollten in der aktuellen Version sicher sein. Ein Update wird also dringend und umgehend empfohlen.


Schreibe einen Kommentar

Pressengers lebt von der Wordpress Community, beteilige dich mit einem Kommentar!
Deine E-Mail Adresse wird nicht veröffentlicht.

Achtung: Mit dem Absenden eines Kommentars erklärst du dich damit einverstanden, dass alle eingegebenen Daten und deine IP-Adresse zum Zweck der Spamvermeidung durch das Programm Akismet in den USA überprüft und gespeichert werden. Weitere Informationen zu Akismet und Möglichkeiten des Widerrufs..