FEHLER!

Sicherheitslücke im WordPress-Plugin Modern Events Calendar entdeckt

Oh nein, da hat es wohl wieder ein WordPress-Plugin erwischt! Diesmal ist das beliebte Modern Events Calendar Plugin von einer kritischen Sicherheitslücke betroffen, die von Wordfence, einem angesehenen IT-Sicherheitsunternehmen, entdeckt wurde. Das Plugin wird von über 150.000 Websites genutzt und ermöglicht die Verwaltung von Veranstaltungskalendern.

Die Experten von Wordfence haben Ende Mai diese Schwachstelle identifiziert und ihre Analyse in einem Blogbeitrag veröffentlicht. Demnach besteht die Möglichkeit für Angreifer, beliebige Dateien hochzuladen, da die Funktion „codeset_featured_image“ den Dateityp nicht überprüft. Das bedeutet, dass Schadcode aus dem Internet auf der betroffenen Website ausgeführt werden kann.

Jetzt kommt der spannende Teil: Damit die Angreifer diese Lücke ausnutzen können, benötigen sie mindestens die Berechtigungsstufe „Subscriber“. Das heißt, sie müssen sich schon ein bisschen anstrengen, um Schaden anzurichten. Allerdings erlaubt das Plugin auch nicht authentifizierten Nutzern, Ereignisse einzutragen. In solchen Fällen könnten die Angreifer also Schadcode ohne vorherige Anmeldung in die Website einschleusen und ausführen. Das ist natürlich alles andere als gut!

Die betroffene Version des Modern Events Calendar-Plugins ist die 7.11.0 oder eine ältere Version. Wordfence hat die Entwickler bereits Ende Mai über die Sicherheitslücke informiert und endlich Mitte Juni eine Rückmeldung erhalten. Am vergangenen Montag wurde dann endlich die korrigierte Version 7.12.0 des Plugins veröffentlicht.

Jetzt kommt der wichtige Teil: Wenn du das Modern Events Calendar-Plugin oder die Light-Variante nutzt, solltest du so schnell wie möglich die neueste Version installieren. Durch das Update wird die Sicherheitslücke geschlossen und die Gefahr eines erfolgreichen Angriffs minimiert. Also, nichts wie ran ans Update!

Diese Sicherheitslücke erinnert uns mal wieder daran, wie wichtig es ist, regelmäßig Updates für WordPress-Plugins durchzuführen. Die Bedrohungslage im Bereich der Cyberkriminalität wächst ständig und es ist unerlässlich, die Sicherheit von Websites kontinuierlich zu verbessern und Schwachstellen zeitnah zu beheben. Also, schützt eure Websites und haltet eure Plugins auf dem neuesten Stand!

Schlagwörter: Wordfence + CVSS + Schadcode

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 9. Juli 2024