Kritische Sicherheitslücke im WordPress-E-Commerce-Plugin gefunden, das von über 30.000 Online-Shops verwendet wird

wordpress plugins

Es wurde berichtet, dass das WordPress-Plugin „Abandoned Cart Lite for WooCommerce“, das auf mehr als 30.000 Websites installiert ist, eine kritische Sicherheitslücke aufweist. Laut einer Empfehlung von Defiant's Wordfence ermöglicht die Schwachstelle Angreifern den Zugriff auf die Konten von Benutzern, die ihren Einkaufswagen verlassen haben. Der Schweregrad der Schwachstelle, verfolgt als CVE-2023-2986, wurde im CVSS-Bewertungssystem mit 9,8 von 10 bewertet. Es betrifft alle Versionen des Plugins, einschließlich der Versionen 5.14.2 und früher.

Das Problem ist auf eine Umgehung der Authentifizierung aufgrund unzureichender Verschlüsselungsschutzmaßnahmen zurückzuführen. Wenn Kunden auf E-Commerce-Websites über ihre abgebrochenen Warenkörbe benachrichtigt werden, ist der verwendete Verschlüsselungsschlüssel im Plugin fest codiert. Dies ermöglicht es böswilligen Akteuren, sich als Benutzer mit einem verlassenen Warenkorb anzumelden. Der Sicherheitsforscher István Márton erwähnte, dass die Möglichkeit besteht, die Sicherheitslücke bei der Authentifizierungsumgehung auszunutzen, um Zugriff auf ein Administratorkonto oder ein Benutzerkonto höherer Ebene zu erhalten.

Sicherheitslücke Anfang Juni behoben

Der Plugin-Entwickler Tyche Softwares hat die Schwachstelle am 6. Juni 2023 mit Version 5.15.0 behoben, die aktuelle Version ist 5.15.2. Die Offenlegung dieser Sicherheitslücke fällt mit der Entdeckung eines weiteren Authentifizierungsumgehungsfehlers durch Wordfence im Plugin „Booking Calendar | Appointment Booking | BookIt“ von StylemixThemes zusammen. Dieser Fehler, der als CVE-2023-2834 mit einem CVSS-Score von 9,8 verfolgt wird, betrifft über 10.000 WordPress-Installationen. Dies entsteht durch eine unzureichende Überprüfung während des Buchungsvorgangs, sodass sich nicht authentifizierte Angreifer als vorhandener Benutzer anmelden können, wenn sie Zugriff auf die E-Mail-Adresse des Benutzers haben. Das Problem wurde in der am 13. Juni 2023 veröffentlichten Version 2.3.8 behoben, während Versionen 2.3.7 und früher betroffen sind.

Warum werden WordPress-Plugins häufig zum Ziel von Hackern?

WordPress-Plugins geraten aus mehreren Gründen häufig ins Visier von Hackern:

Beliebtheit und breite Verwendung: WordPress ist eines der beliebtesten Content-Management-Systeme (CMS) weltweit und betreibt einen erheblichen Teil der Websites im Internet. Die umfangreiche Nutzung von WordPress macht es zu einem attraktiven Ziel für Hacker. Da Plugins die Funktionalität von WordPress-Websites erweitern, werden sie von Websitebesitzern häufig übernommen. Angreifer wissen, dass der Angriff auf beliebte Plugins möglicherweise eine große Anzahl von Websites gefährden kann.

Schwachstellen und Sicherheitsprobleme: Wie jede Software können auch WordPress-Plugins Schwachstellen und Sicherheitslücken aufweisen. Diese Schwachstellen können von Hackern ausgenutzt werden, um sich unbefugten Zugriff zu verschaffen, Schadcode einzuschleusen oder andere böswillige Aktivitäten durchzuführen. Plugins können Codierungsfehler, unzureichende Validierungsprüfungen oder unzureichende Sicherheitsmaßnahmen aufweisen, die sie anfällig für Angriffe machen.

Mangel an Updates und Wartung: Einige Websitebesitzer versäumen es möglicherweise, ihre WordPress-Plugins auf dem neuesten Stand zu halten oder sie nicht ordnungsgemäß zu warten. Veraltete Plugins können bekannte Schwachstellen aufweisen, die Hacker ausnutzen können. Darüber hinaus erhalten Plugins, die nicht mehr von Entwicklern gewartet oder unterstützt werden, möglicherweise nicht rechtzeitig Sicherheitspatches, wodurch sie anfällig für Angriffe werden.

Plugin-Entwickler von Drittanbietern: WordPress-Plugins werden oft von Drittanbietern entwickelt, die möglicherweise über unterschiedliche Sicherheitskenntnisse verfügen. Während viele Entwickler der Sicherheit Priorität einräumen, verfügen andere möglicherweise nicht über das erforderliche Wissen oder die erforderlichen Ressourcen, um robuste Sicherheitsmaßnahmen zu implementieren. Hacker zielen auf Plugins ab, die von weniger sicherheitsbewussten Entwicklern entwickelt wurden, um Schwachstellen in deren Code auszunutzen.

Hintertüreinstieg: Plugins können Angreifern als Hintertüreinstiegspunkt dienen, um Zugriff auf eine WordPress-Website zu erhalten. Durch die Kompromittierung eines Plugins können Hacker Sicherheitsmaßnahmen umgehen und die Kontrolle über die gesamte Website erlangen. Sobald sie drinnen sind, können sie Inhalte manipulieren, vertrauliche Informationen stehlen oder andere böswillige Aktivitäten ausführen.

Um das mit WordPress-Plugins verbundene Risiko zu mindern, ist es für Websitebesitzer von entscheidender Bedeutung, Best Practices zu befolgen wie:

  • Aktualisieren Sie Plugins regelmäßig auf die neuesten Versionen, die Sicherheitspatches enthalten.
  • Wählen Sie Plugins von seriösen Quellen und Entwicklern mit einer Erfolgsbilanz bei der Bereitstellung regelmäßiger Updates und Support.
  • Entfernen oder deaktivieren Sie nicht verwendete Plugins, um die Angriffsfläche zu minimieren.
  • Setzen Sie ein zuverlässiges Sicherheits-Plugin ein, das potenzielle Bedrohungen erkennen und vor ihnen schützen kann.
  • Überwachen Sie regelmäßig die Sicherheit der Website und implementieren Sie zusätzliche Sicherheitsmaßnahmen, wie sichere Passwörter und Zwei-Faktor-Authentifizierung.

Durch das Treffen dieser Vorsichtsmaßnahmen können Websitebesitzer die Wahrscheinlichkeit verringern, Opfer von Angriffen zu werden, die auf WordPress-Plugins abzielen.

Bis Zaib
June 23, 2023
Computer Security
Deutsch
June 23, 2023
Computer Security

Beliebte Beiträge

Was ist die Datei OperaGXSetup.exe und ist sie bösartig?

vor 11 months

Eporner.com und warum die übermäßigen Pop-ups riskant sind

vor 12 days

Beachten Sie: Jemand hat Sie als Betrugsversuch für die...

vor 10 months

HackTool:Win32/Crack: eine bösartige Bedrohung, die Ihr System...

vor 7 months

Eine potenziell ernste Bedrohung: Trojan:Win32/Suschil!rfn

vor 19 days

Was ist die Bedrohung durch den Packunwan-Trojaner und wie...

vor 11 months
Deutsch
Lade...

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.