Tausende WordPress-Sites von Plugin-Schwachstelle betroffen

In einem weiteren WordPress-Template wurde eine neue schwerwiegende Schwachstelle entdeckt. Der Fehler ermöglicht Code-Injection auf den Seiten, auf denen das Plugin ausgeführt wird, sowie Phishing durch Cross-Site-Scripting.

Es scheint, dass kein Monat vergehen kann, ohne dass eine neue WordPress-Plugin-Schwachstelle auftaucht. Januar ist keine Ausnahme von dieser Regel, mit der brandneuen Schwachstelle, die von Forschern in WP HTML Mail entdeckt wurde – einem WordPress-Plugin, mit dem Benutzer benutzerdefinierte E-Mail-Vorlagen entwerfen können.

Schwachstelle ermöglicht Code-Injektion

Die Schwachstelle wurde unter der Bezeichnung CVE-2022-0218 kodifiziert und wurde ursprünglich von Chloe Chamberlain, einer Forscherin bei Wordfence, entdeckt. Der dem Fehler zugewiesene CVSS-Score beträgt 8,3, was ihn weit in den Bereich „hoher Schweregrad“ einordnet.

Der Fehler des WP-HTML-Mail-Plugins liegt in seiner schlechten Handhabung von REST-API-Routen, die vom Mail-Template-Plugin verwendet werden. Laut Chamberlain enthält das Plugin keinen Authentifizierungsschritt für den Zugriff auf den REST-API-Endpunkt. Dies würde einem potenziellen Angreifer freien Zugriff auf die Themen der E-Mail-Vorlage ermöglichen, einschließlich der Möglichkeit, schädliches JS einzufügen, das ausgeführt wird, wenn der legitime Administrator die Seite des E-Mail-Editors öffnet.

Das Ausmaß des Zugriffs, den die Schwachstelle zulässt, ist etwas beängstigend. Ein potenzieller Hacker könnte Backdoor-Code einschleusen, neue Benutzer mit Administratorrechten erstellen, Seitenumleitungen einrichten und sogar zuvor erstellte, legitime E-Mail-Vorlagen verwenden, um Phishing-E-Mails unter Verwendung des Website-Brandings und -Namens des Opfers zu versenden.

Tausende Websites müssen aktualisiert werden

Der Sicherheitsbericht zum Plugin-Fehler erwähnt, dass das WP HTML Mail-Plugin mit anderen sehr beliebten Plugins kompatibel ist, darunter WooCommerce und Ninja Forms. Schätzungen zufolge ist das anfällige Plugin auf rund 20.000 Websites installiert.

Den Eigentümern all dieser Seiten wird empfohlen, sofort sicherzustellen, dass sie die neueste, aktualisierte Version von WP HTML Mail ausführen, in der die Schwachstelle behoben ist. Zum Zeitpunkt des Schreibens ist diese Version 3.1.

Bis Zaib
January 24, 2022
Computer Security
Deutsch
January 24, 2022
Computer Security

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 4 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.