[English]Aktuell gefährden ein veraltetes Theme (OneTone) sowie das Plugin Real-Time Find and Replace massiv die Sicherheit von WordPress-Installationen. Wer diese Elemente nutzt, muss dringend handeln – die Schwachstellen werden aktiv ausgenutzt.
Anzeige
OneTone-Theme wird angegriffen
WordPress-Nutzer, die zufällig das seit Jahren nicht mehr aktualisierte Theme OneTone einsetzen (aktuell gibt es 20.000 Installationen), sollten dieses dringend austauschen. Das Theme enthält eine Cross-Site-Scripting-Schwachstelle, die hier mit ihren Details offen gelegt wird. Diese ermöglicht Angreifern Schadcode über geöffnete Tabs von Web-Admins eines WordPress-Blogs einzuschleusen. Die Schwachstelle wird massenhaft angegriffen. Sofern jemand das Theme einsetzt, findet er bei heise in diesem Artikel einige weiterführende Informationen.
Plugin Real-Time Find and Replace
Die zweite Problemstelle ist das Plugin Real-Time Find and Replace, welches auf 100.000 Seiten verwendet wird. Das Plugin ermöglicht dynamisch Text und Inhalte beim Seitenabruf auszutauschen. Wordfence hat diesen Bericht veröffentlicht, der auf eine am 22. April 2020 entdeckte XSS-Schwachstelle hinweist. Die Entwickler des Plugins haben die Schwachstelle in der freigegebenen Version 4.0.2 geschlossen. Bleeping Computer hat hier einen Artikel zum Thema.
Anzeige