{"id":191982,"date":"2017-07-03T09:40:12","date_gmt":"2017-07-03T07:40:12","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=191982"},"modified":"2017-07-03T09:40:12","modified_gmt":"2017-07-03T07:40:12","slug":"wordpress-plugin-wp-statistics-mit-sicherheitslcke","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/07\/03\/wordpress-plugin-wp-statistics-mit-sicherheitslcke\/","title":{"rendered":"WordPress-PlugIn WP Statistics mit Sicherheitslücke"},"content":{"rendered":"

\"\"Wichtiger Hinweis f\u00fcr Betreiber von WordPress-Sites, die das Statistik-Plugin WP Statistics<\/a> installiert haben. \u00c4ltere Versionen des PlugIns enthalten eine SQL-Injection-L\u00fccke, \u00fcber die Angreifer die WordPress-Site sensitive Informationen abrufen k\u00f6nnen.<\/p>\n

<\/p>\n

Entdeckt wurde die Sicherheitsl\u00fccke vom Team des Sicherheitsanbieters Sucuri, die das Ganze bereits am 30. Juni 2017 ver\u00f6ffentlicht haben<\/a>. Das Plugin ist auf \u00fcber 300.000 Seiten installiert. Auch hier im Blog l\u00e4uft das Plugin mit \u2013 die Sicherheitsl\u00fccke lie\u00df sich hier aber nicht ausnutzen.<\/p>\n

Die SQL-Injection-L\u00fccke lie\u00df sich nur ausnutzen, wenn die Angreifer ein Konto f\u00fcr den betreffenden WordPress-Auftritt hatten, welches mindestens Abonnentenrechte beinhaltet. Dann lie\u00dfen sich Abfragen mittels wp_statistics_searchengine_query()<\/em> missbrauchen. <\/p>\n

Das Sucuri-Team hat die Plugin-Entwickler kontaktiert, die dann das Plugin aktualisiert haben. Ab der Version 12.0.8 ist diese Sicherheitsl\u00fccke gefixt. In meinem Blog habe ich gesehen, dass das Plugin gestern sogar auf die Version 12.0.8.1 aktualisiert wurde. Wer also eine \u00e4ltere Version von WP Statistics vor 12.0.8 betreibt, sollte dieses Plugin aktualisieren. (via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"

Wichtiger Hinweis f\u00fcr Betreiber von WordPress-Sites, die das Statistik-Plugin WP Statistics installiert haben. \u00c4ltere Versionen des PlugIns enthalten eine SQL-Injection-L\u00fccke, \u00fcber die Angreifer die WordPress-Site sensitive Informationen abrufen k\u00f6nnen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,1574],"tags":[4328,4349],"class_list":["post-191982","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-wordpress","tag-sicherheit","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191982","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=191982"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191982\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=191982"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=191982"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=191982"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}