Code Snippets Plugin gefährdet 200.000 WordPress-Sites

Kurze Information für WordPress-Betreiber, die der Plugin-Mania anheimgefallen sind. Falls ihr das Plugin Code Snippets verwendet, solltet ihr dringend sicherstellen, dass die Version 2.14.0 installiert ist.


Anzeige

Dieses Open-Source-Plugin ermöglicht es den Benutzern, PHP-Codeschnipsel auf ihren WordPress-Sites auszuführen, und es bietet auch eine "grafische Schnittstelle, ähnlich dem Plugin-Menü, zur Verwaltung von Codeschnipseln". Im WordPress-Repository ist Code Snippets mit mehr als 200.000 Installationen aufgeführt.

Das WordFence-Sicherheitsteam hat im Plugin aber die kritische Schwachstelle CVE-2020-8417 entdeckt. Es handelt sich um einen cross-site request forgery (CSRF) Bug, der eine Übernahme der WordPress-Installation ermöglicht. Diese CSRF-Schwachstelle erlaubte es Angreifern, Anfragen im Namen eines Administrators zu fälschen und Code auf einer verwundbaren Seite einzufügen. Potentielle Angreifer können daher beliebigen Code remote auf Webseiten ausführen, falls die angreifbare Version des Code-Snippets Plugin installiert ist.

Am 25. Januar 2020, 2 Tage nach Meldung der Schwachstelle, wurde die Version 2.14.0 des Plugins mit einem Bug-Fix veröffentlicht. Damit ist die WordPress-Seite nicht mehr über die Schwachstelle angreifbar. Weitere Details lest ihr bei Bedarf bei Bleeping Computer nach. Abschließender Ratschlag: Überlegt euch, welche Plugins ihr im WordPress-Blog wirklich braucht und stellt dann sicher, dass diese auch immer aktualisiert werden.


Anzeige

Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.