Norman Irion

WordPress Sicherheitsupdates Mai 2023

Berichte über Schwachstellen und verantwortungsbewusste Offenlegung sind für die Sensibilisierung und Aufklärung über die Sicherheit von Websites unerlässlich. Automatisierte Angriffe, die auf bekannte Software-Schwachstellen abzielen, sind eine der Hauptursachen für die Gefährdung von Websites.

Um Website-Besitzer über neue Bedrohungen für ihre Umgebungen aufzuklären, haben wir eine Liste wichtiger Sicherheitsupdates und Schwachstellen-Patches für das WordPress-Ökosystem im vergangenen Monat zusammengestellt.

WordPress 6.2.1 Sicherheits- und Wartungsversion

Es wurde ein neues Update für WordPress veröffentlicht, das Sicherheits- und Fehlerbehebungen in WordPress 6.2.1 enthält.

Diese neueste Sicherheits- und Wartungsversion behebt eine Reihe von Fehlern und Schwachstellen, darunter eine nicht authentifizierte Directory Traversal-Schwachstelle, eine nicht authentifizierte Cross-Site Scripting-Schwachstelle und mehrere andere Schwachstellen mit geringerem Schweregrad.

Wir empfehlen Ihnen dringend, Ihr CMS immer mit den neuesten Kern-Updates zu versorgen, um Risiken zu minimieren und Ihre WordPress-Website zu schützen.

Elementor – Broken Access Control

Sicherheitsrisiko:Mittel
Schwachstelle:Fehlende Berechtigung zur Aktualisierung der Einstellungen
Betroffene Software:Elementor Website Builder <= 3.13.1
Gepatchte Version:Elementor Website Builder 3.13.2

Schritte zum Beheben:
Auf Elementor Website Builder Plugin Version 3.13.2 oder höher patchen.

Advanced Custom Fields Pro – Cross Site Scripting (XSS)

Sicherheitsrisiko:Hoch
Schwachstelle:Cross Site Scripting (XSS)
Betroffene Software:Advanced Custom Fields (ACF) <= 6.1.5
Gepatchte Version:Advanced Custom Fields (ACF) 6.1.6

Schritte zum Beheben:
Auf Advanced Custom Fields PRO Plugin Version 6.1.6 oder höher patchen.

Essential Addons for Elementor – Critical Privilege Escalation

Sicherheitsrisiko:Kritisch
Schwachstelle:Fehlerhafte Authentifizierung
CVE:CVE-2023-32243
Betroffene Software:Essential Addons for Elementor <= 5.7.1
Gepatchte Version:Essential Addons for Elementor 5.7.2

Schritte zum Beheben: Auf Essential Addons for Elementor Plugin Version 5.7.2 oder höher patchen.

Loginizer – Reflected Cross Site Scripting (XSS)

Sicherheitsrisiko:Hoch
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-2296
Betroffene Software:Loginizer <= 1.7.8
Gepatchte Version:Loginizer 1.7.9

Schritte zum Beheben: Auf Loginizer Plugin Version 1.7.9 oder höher patchen.

Ninja Forms – Reflected Cross Site Scripting (XSS)

Sicherheitsrisiko:Hoch
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-1835
Betroffene Software:Ninja Forms Contact Form <= 3.6.21
Gepatchte Version:Ninja Forms Contact Form 3.6.22

Schritte zum Beheben: Auf Ninja Forms Plugin Version 3.6.22 oder höher patchen.

ExactMetrics – Cross-Site Scripting (XSS)

Sicherheitsrisiko:Mittel
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-23880
Betroffene Software:ExactMetrics <= 7.14.1
Gepatchte Version:ExactMetrics 7.14.2

Schritte zum Beheben: Auf ExactMetrics Plugin Version 7.14.2 oder höher patchen.

PixelYourSite – Stored Cross-Site Scripting

Sicherheitsrisiko:Gering
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-2584
Betroffene Software:PixelYourSite <= 9.3.6
Gepatchte Version:PixelYourSite 9.3.7

Schritte zum Beheben: Auf PixelYourSite Plugin Version 9.3.7 oder höher patchen.

Otter Gutenberg Blocks – PHP Object Injection

Sicherheitsrisiko:Mittel
Schwachstelle:PHP Object Injection
CVE:CVE-2023-2288
Betroffene Software:Otter – Gutenberg Blocks <= 2.2.5
Gepatchte Version:Otter – Gutenberg Blocks 2.2.6

Schritte zum Beheben: Auf Otter – Gutenberg Blocks Plugin Version 2.2.6 oder höher patchen.

Chaty – Cross-Site Scripting (XSS)

Sicherheitsrisiko:Hoch
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-25019
Betroffene Software:Chaty <= 3.0
Gepatchte Version:Chaty 3.1

Schritte zum Beheben: Auf Chaty Plugin Version 3.1 oder höher patchen.

Simple Page Ordering – Broken Access Control

Sicherheitsrisiko:Mittel
Schwachstelle:Broken Access Control
CVE:CVE-2023-32798
Betroffene Software:Simple Page Ordering <= 2.5.0
Gepatchte Version:Simple Page Ordering 2.5.1

Schritte zum Beheben: Auf Simple Page Ordering Plugin Version 2.5.1 oder höher patchen.

MW WP Form – Directory Traversal

Sicherheitsrisiko:Mittel
Schwachstelle:Broken Access Control
CVE:CVE-2023-32798
Betroffene Software:MW WP Form <= 4.4.2
Gepatchte Version:MW WP Form 4.4.3

Schritte zum Beheben: Auf MW WP Form Plugin Version 4.4.3 oder höher patchen.

Download Monitor – Sensitive Data Exposure

Sicherheitsrisiko:Mittel
Schwachstelle:Sensitive Data Exposure
CVE:CVE-2022-45354
Betroffene Software:Download Monitor <= 4.7.69
Gepatchte Version:Download Monitor 4.7.70

Schritte zum Beheben: Auf Download Monitor Plugin Version 4.7.70 oder höher patchen.

Newsletter by Sendinblue – Reflected Cross-Site Scripting (XSS)

Sicherheitsrisiko:Hoch
Schwachstelle:Cross Site Scripting
Betroffene Software:Newsletter by Sendinblue <= 3.1.60
Gepatchte Version:Newsletter by Sendinblue 3.1.61

Schritte zum Beheben: Auf Newsletter by Sendinblue Plugin Version 3.1.61 oder höher patchen.

Slimstat Analytics – Reflected Cross Site Scripting (XSS)

Sicherheitsrisiko:Hoch
Schwachstelle:Reflected Cross Site Scripting
CVE:CVE-2022-45366
Betroffene Software:Slimstat Analytics <= 5.0.4
Gepatchte Version:Slimstat Analytics 5.0.5

Schritte zum Beheben: Auf Slimstat Analytics Plugin Version 5.0.5 oder höher patchen.

YARPP – SQL Injection

Sicherheitsrisiko:Hoch
Schwachstelle:SQL Injection
CVE:CVE-2023-0579
Betroffene Software:YARPP <= 5.30.2
Gepatchte Version:YARPP 5.30.3

Schritte zum Beheben: Auf YARPP Plugin Version 5.30.3 oder höher patchen.

Advanced Woo Search – Cross Site Scripting (XSS)

Sicherheitsrisiko:Gering
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-2452
Betroffene Software:Advanced Woo Search <= 2.77
Gepatchte Version:Advanced Woo Search 2.78

Schritte zum Beheben: Auf Advanced Woo Search Plugin Version 2.78 oder höher patchen.

Contact Form Entries – Cross Site Scripting (XSS)

Sicherheitsrisiko:Mittel
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-33311
Betroffene Software:Contact Form Entries <= 1.3.0
Gepatchte Version:Contact Form Entries 1.3.1

Schritte zum Beheben: Auf Contact Form Entries Plugin Version 1.3.1 oder höher patchen.

Contact Form Entries – SQL Injection

Sicherheitsrisiko:Hoch
Schwachstelle:SQL Injection
CVE:CVE-2023-31212
Betroffene Software:Contact Form Entries <= 1.3.0
Gepatchte Version:Contact Form Entries 1.3.1

Schritte zum Beheben: Auf Contact Form Entries Plugin Version 1.3.1 oder höher patchen.

WP-Piwik – Cross Site Scripting (XSS)

Sicherheitsrisiko:Gering
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-33211
Betroffene Software:WP-Piwik <= 1.0.27
Gepatchte Version:WP-Piwik 1.0.28

Schritte zum Beheben: Auf WP-Piwik Plugin Version 1.0.2.8 oder höher patchen.

Custom Field Suite – Cross Site Scripting (XSS)

Sicherheitsrisiko:Gering
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-32515
Betroffene Software:Custom Field Suite <= 2.6.2
Gepatchte Version:Custom Field Suite 2.6.3

Schritte zum Beheben: Auf Custom Field Suite Plugin Version 2.6.3 oder höher patchen.

Ultimate Dashboard – Stored Cross-Site Scripting

Sicherheitsrisiko:Gering
Schwachstelle:Cross Site Scripting (XSS)
Betroffene Software:Ultimate Dashboard <= 3.7.5
Gepatchte Version:Ultimate Dashboard 3.7.6

Schritte zum Beheben: Auf Ultimate Dashboard Plugin Version 3.7.6 oder höher patchen.

Easy Hide Login – Cross Site Scripting (XSS)

Sicherheitsrisiko:Gering
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-32505
Betroffene Software:Easy Hide Login <= 1.0.7
Gepatchte Version:Easy Hide Login 1.0.8

Schritte zum Beheben: Auf Easy Hide Login Plugin Version 1.0.8 oder höher patchen.

Post Snippets – Cross Site Scripting (XSS)

Sicherheitsrisiko:Gering
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-25459
Betroffene Software:Post Snippets <= 4.0.2
Gepatchte Version:Post Snippets 4.0.3

Schritte zum Beheben: Auf Post Snippets Plugin Version 4.0.3 oder höher patchen.

Zero Spam – SQL Injection

Sicherheitsrisiko:Gering
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-32121
Betroffene Software:Zero Spam for WordPress <= 5.4.4
Gepatchte Version:Zero Spam for WordPress 5.4.5

Schritte zum Beheben: Auf Zero Spam for WordPress Plugin Version 5.4.5 oder höher patchen.

Norman Irion

Online Marketing, SEO und Google Ads in der Schweiz. Das sind meine lieblings Keywords. Bei einer Webseiten Analyse deiner Webseite sage dir in Form eines Videos, was deine Seite taugt. Wer mehr Kunden mit seiner Webseite gewinnen möchte, bucht am besten einen Website Roast. Das Video kostet nur 250 Franken, wenn du damit auch zufrieden bist, quasi eine Zufriedenheits-Garantie. Das Angebot gilt nur für telefonische Bestellung, also gleich Anrufen. Tel +41 44 820 85 00

Social Media