Berichte über Schwachstellen und verantwortungsbewusste Offenlegung sind für die Sensibilisierung und Aufklärung über die Sicherheit von Websites unerlässlich. Automatisierte Angriffe, die auf bekannte Software-Schwachstellen abzielen, sind eine der Hauptursachen für die Gefährdung von Websites.
Um Website-Besitzer über neue Bedrohungen für ihre Umgebungen aufzuklären, haben wir eine Liste wichtiger Sicherheitsupdates und Schwachstellen-Patches für das WordPress-Ökosystem im vergangenen Monat zusammengestellt.
WordPress 6.2.1 Sicherheits- und Wartungsversion
Es wurde ein neues Update für WordPress veröffentlicht, das Sicherheits- und Fehlerbehebungen in WordPress 6.2.1 enthält.
Diese neueste Sicherheits- und Wartungsversion behebt eine Reihe von Fehlern und Schwachstellen, darunter eine nicht authentifizierte Directory Traversal-Schwachstelle, eine nicht authentifizierte Cross-Site Scripting-Schwachstelle und mehrere andere Schwachstellen mit geringerem Schweregrad.
Wir empfehlen Ihnen dringend, Ihr CMS immer mit den neuesten Kern-Updates zu versorgen, um Risiken zu minimieren und Ihre WordPress-Website zu schützen.
Elementor – Broken Access Control
| Sicherheitsrisiko: | Mittel |
| Schwachstelle: | Fehlende Berechtigung zur Aktualisierung der Einstellungen |
| Betroffene Software: | Elementor Website Builder <= 3.13.1 |
| Gepatchte Version: | Elementor Website Builder 3.13.2 |
Schritte zum Beheben:
Auf Elementor Website Builder Plugin Version 3.13.2 oder höher patchen.
Advanced Custom Fields Pro – Cross Site Scripting (XSS)
| Sicherheitsrisiko: | Hoch |
| Schwachstelle: | Cross Site Scripting (XSS) |
| Betroffene Software: | Advanced Custom Fields (ACF) <= 6.1.5 |
| Gepatchte Version: | Advanced Custom Fields (ACF) 6.1.6 |
Schritte zum Beheben:
Auf Advanced Custom Fields PRO Plugin Version 6.1.6 oder höher patchen.
Essential Addons for Elementor – Critical Privilege Escalation
| Sicherheitsrisiko: | Kritisch |
| Schwachstelle: | Fehlerhafte Authentifizierung |
| CVE: | CVE-2023-32243 |
| Betroffene Software: | Essential Addons for Elementor <= 5.7.1 |
| Gepatchte Version: | Essential Addons for Elementor 5.7.2 |
Schritte zum Beheben: Auf Essential Addons for Elementor Plugin Version 5.7.2 oder höher patchen.
Loginizer – Reflected Cross Site Scripting (XSS)
| Sicherheitsrisiko: | Hoch |
| Schwachstelle: | Cross Site Scripting (XSS) |
| CVE: | CVE-2023-2296 |
| Betroffene Software: | Loginizer <= 1.7.8 |
| Gepatchte Version: | Loginizer 1.7.9 |
Schritte zum Beheben: Auf Loginizer Plugin Version 1.7.9 oder höher patchen.
Ninja Forms – Reflected Cross Site Scripting (XSS)
| Sicherheitsrisiko: | Hoch |
| Schwachstelle: | Cross Site Scripting (XSS) |
| CVE: | CVE-2023-1835 |
| Betroffene Software: | Ninja Forms Contact Form <= 3.6.21 |
| Gepatchte Version: | Ninja Forms Contact Form 3.6.22 |
Schritte zum Beheben: Auf Ninja Forms Plugin Version 3.6.22 oder höher patchen.
ExactMetrics – Cross-Site Scripting (XSS)
| Sicherheitsrisiko: | Mittel |
| Schwachstelle: | Cross Site Scripting (XSS) |
| CVE: | CVE-2023-23880 |
| Betroffene Software: | ExactMetrics <= 7.14.1 |
| Gepatchte Version: | ExactMetrics 7.14.2 |
Schritte zum Beheben: Auf ExactMetrics Plugin Version 7.14.2 oder höher patchen.
PixelYourSite – Stored Cross-Site Scripting
| Sicherheitsrisiko: | Gering |
| Schwachstelle: | Cross Site Scripting (XSS) |
| CVE: | CVE-2023-2584 |
| Betroffene Software: | PixelYourSite <= 9.3.6 |
| Gepatchte Version: | PixelYourSite 9.3.7 |
Schritte zum Beheben: Auf PixelYourSite Plugin Version 9.3.7 oder höher patchen.
Otter Gutenberg Blocks – PHP Object Injection
| Sicherheitsrisiko: | Mittel |
| Schwachstelle: | PHP Object Injection |
| CVE: | CVE-2023-2288 |
| Betroffene Software: | Otter – Gutenberg Blocks <= 2.2.5 |
| Gepatchte Version: | Otter – Gutenberg Blocks 2.2.6 |
Schritte zum Beheben: Auf Otter – Gutenberg Blocks Plugin Version 2.2.6 oder höher patchen.
Chaty – Cross-Site Scripting (XSS)
| Sicherheitsrisiko: | Hoch |
| Schwachstelle: | Cross Site Scripting (XSS) |
| CVE: | CVE-2023-25019 |
| Betroffene Software: | Chaty <= 3.0 |
| Gepatchte Version: | Chaty 3.1 |
Schritte zum Beheben: Auf Chaty Plugin Version 3.1 oder höher patchen.
Simple Page Ordering – Broken Access Control
| Sicherheitsrisiko: | Mittel |
| Schwachstelle: | Broken Access Control |
| CVE: | CVE-2023-32798 |
| Betroffene Software: | Simple Page Ordering <= 2.5.0 |
| Gepatchte Version: | Simple Page Ordering 2.5.1 |
Schritte zum Beheben: Auf Simple Page Ordering Plugin Version 2.5.1 oder höher patchen.
MW WP Form – Directory Traversal
| Sicherheitsrisiko: | Mittel |
| Schwachstelle: | Broken Access Control |
| CVE: | CVE-2023-32798 |
| Betroffene Software: | MW WP Form <= 4.4.2 |
| Gepatchte Version: | MW WP Form 4.4.3 |
Schritte zum Beheben: Auf MW WP Form Plugin Version 4.4.3 oder höher patchen.
Download Monitor – Sensitive Data Exposure
| Sicherheitsrisiko: | Mittel |
| Schwachstelle: | Sensitive Data Exposure |
| CVE: | CVE-2022-45354 |
| Betroffene Software: | Download Monitor <= 4.7.69 |
| Gepatchte Version: | Download Monitor 4.7.70 |
Schritte zum Beheben: Auf Download Monitor Plugin Version 4.7.70 oder höher patchen.
Newsletter by Sendinblue – Reflected Cross-Site Scripting (XSS)
| Sicherheitsrisiko: | Hoch |
| Schwachstelle: | Cross Site Scripting |
| Betroffene Software: | Newsletter by Sendinblue <= 3.1.60 |
| Gepatchte Version: | Newsletter by Sendinblue 3.1.61 |
Schritte zum Beheben: Auf Newsletter by Sendinblue Plugin Version 3.1.61 oder höher patchen.
Slimstat Analytics – Reflected Cross Site Scripting (XSS)
| Sicherheitsrisiko: | Hoch |
| Schwachstelle: | Reflected Cross Site Scripting |
| CVE: | CVE-2022-45366 |
| Betroffene Software: | Slimstat Analytics <= 5.0.4 |
| Gepatchte Version: | Slimstat Analytics 5.0.5 |
Schritte zum Beheben: Auf Slimstat Analytics Plugin Version 5.0.5 oder höher patchen.
YARPP – SQL Injection
| Sicherheitsrisiko: | Hoch |
| Schwachstelle: | SQL Injection |
| CVE: | CVE-2023-0579 |
| Betroffene Software: | YARPP <= 5.30.2 |
| Gepatchte Version: | YARPP 5.30.3 |
Schritte zum Beheben: Auf YARPP Plugin Version 5.30.3 oder höher patchen.
Advanced Woo Search – Cross Site Scripting (XSS)
| Sicherheitsrisiko: | Gering |
| Schwachstelle: | Cross Site Scripting (XSS) |
| CVE: | CVE-2023-2452 |
| Betroffene Software: | Advanced Woo Search <= 2.77 |
| Gepatchte Version: | Advanced Woo Search 2.78 |
Schritte zum Beheben: Auf Advanced Woo Search Plugin Version 2.78 oder höher patchen.
Contact Form Entries – Cross Site Scripting (XSS)
| Sicherheitsrisiko: | Mittel |
| Schwachstelle: | Cross Site Scripting (XSS) |
| CVE: | CVE-2023-33311 |
| Betroffene Software: | Contact Form Entries <= 1.3.0 |
| Gepatchte Version: | Contact Form Entries 1.3.1 |
Schritte zum Beheben: Auf Contact Form Entries Plugin Version 1.3.1 oder höher patchen.
Contact Form Entries – SQL Injection
| Sicherheitsrisiko: | Hoch |
| Schwachstelle: | SQL Injection |
| CVE: | CVE-2023-31212 |
| Betroffene Software: | Contact Form Entries <= 1.3.0 |
| Gepatchte Version: | Contact Form Entries 1.3.1 |
Schritte zum Beheben: Auf Contact Form Entries Plugin Version 1.3.1 oder höher patchen.
WP-Piwik – Cross Site Scripting (XSS)
| Sicherheitsrisiko: | Gering |
| Schwachstelle: | Cross Site Scripting (XSS) |
| CVE: | CVE-2023-33211 |
| Betroffene Software: | WP-Piwik <= 1.0.27 |
| Gepatchte Version: | WP-Piwik 1.0.28 |
Schritte zum Beheben: Auf WP-Piwik Plugin Version 1.0.2.8 oder höher patchen.
Custom Field Suite – Cross Site Scripting (XSS)
| Sicherheitsrisiko: | Gering |
| Schwachstelle: | Cross Site Scripting (XSS) |
| CVE: | CVE-2023-32515 |
| Betroffene Software: | Custom Field Suite <= 2.6.2 |
| Gepatchte Version: | Custom Field Suite 2.6.3 |
Schritte zum Beheben: Auf Custom Field Suite Plugin Version 2.6.3 oder höher patchen.
Ultimate Dashboard – Stored Cross-Site Scripting
| Sicherheitsrisiko: | Gering |
| Schwachstelle: | Cross Site Scripting (XSS) |
| Betroffene Software: | Ultimate Dashboard <= 3.7.5 |
| Gepatchte Version: | Ultimate Dashboard 3.7.6 |
Schritte zum Beheben: Auf Ultimate Dashboard Plugin Version 3.7.6 oder höher patchen.
Easy Hide Login – Cross Site Scripting (XSS)
| Sicherheitsrisiko: | Gering |
| Schwachstelle: | Cross Site Scripting (XSS) |
| CVE: | CVE-2023-32505 |
| Betroffene Software: | Easy Hide Login <= 1.0.7 |
| Gepatchte Version: | Easy Hide Login 1.0.8 |
Schritte zum Beheben: Auf Easy Hide Login Plugin Version 1.0.8 oder höher patchen.
Post Snippets – Cross Site Scripting (XSS)
| Sicherheitsrisiko: | Gering |
| Schwachstelle: | Cross Site Scripting (XSS) |
| CVE: | CVE-2023-25459 |
| Betroffene Software: | Post Snippets <= 4.0.2 |
| Gepatchte Version: | Post Snippets 4.0.3 |
Schritte zum Beheben: Auf Post Snippets Plugin Version 4.0.3 oder höher patchen.
Zero Spam – SQL Injection
| Sicherheitsrisiko: | Gering |
| Schwachstelle: | Cross Site Scripting (XSS) |
| CVE: | CVE-2023-32121 |
| Betroffene Software: | Zero Spam for WordPress <= 5.4.4 |
| Gepatchte Version: | Zero Spam for WordPress 5.4.5 |
Schritte zum Beheben: Auf Zero Spam for WordPress Plugin Version 5.4.5 oder höher patchen.