WordPress Sicherheitsupdates Mai 2023

Berichte über Schwachstellen und verantwortungsbewusste Offenlegung sind für die Sensibilisierung und Aufklärung über die Sicherheit von Websites unerlässlich. Automatisierte Angriffe, die auf bekannte Software-Schwachstellen abzielen, sind eine der Hauptursachen für die Gefährdung von Websites.

Um Website-Besitzer über neue Bedrohungen für ihre Umgebungen aufzuklären, haben wir eine Liste wichtiger Sicherheitsupdates und Schwachstellen-Patches für das WordPress-Ökosystem im vergangenen Monat zusammengestellt.

WordPress 6.2.1 Sicherheits- und Wartungsversion

Es wurde ein neues Update für WordPress veröffentlicht, das Sicherheits- und Fehlerbehebungen in WordPress 6.2.1 enthält.

Diese neueste Sicherheits- und Wartungsversion behebt eine Reihe von Fehlern und Schwachstellen, darunter eine nicht authentifizierte Directory Traversal-Schwachstelle, eine nicht authentifizierte Cross-Site Scripting-Schwachstelle und mehrere andere Schwachstellen mit geringerem Schweregrad.

Wir empfehlen Ihnen dringend, Ihr CMS immer mit den neuesten Kern-Updates zu versorgen, um Risiken zu minimieren und Ihre WordPress-Website zu schützen.

Elementor – Broken Access Control

Sicherheitsrisiko:Mittel
Schwachstelle:Fehlende Berechtigung zur Aktualisierung der Einstellungen
Betroffene Software:Elementor Website Builder <= 3.13.1
Gepatchte Version:Elementor Website Builder 3.13.2

Schritte zum Beheben:
Auf Elementor Website Builder Plugin Version 3.13.2 oder höher patchen.

Advanced Custom Fields Pro – Cross Site Scripting (XSS)

Sicherheitsrisiko:Hoch
Schwachstelle:Cross Site Scripting (XSS)
Betroffene Software:Advanced Custom Fields (ACF) <= 6.1.5
Gepatchte Version:Advanced Custom Fields (ACF) 6.1.6

Schritte zum Beheben:
Auf Advanced Custom Fields PRO Plugin Version 6.1.6 oder höher patchen.

Essential Addons for Elementor – Critical Privilege Escalation

Sicherheitsrisiko:Kritisch
Schwachstelle:Fehlerhafte Authentifizierung
CVE:CVE-2023-32243
Betroffene Software:Essential Addons for Elementor <= 5.7.1
Gepatchte Version:Essential Addons for Elementor 5.7.2

Schritte zum Beheben: Auf Essential Addons for Elementor Plugin Version 5.7.2 oder höher patchen.

Loginizer – Reflected Cross Site Scripting (XSS)

Sicherheitsrisiko:Hoch
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-2296
Betroffene Software:Loginizer <= 1.7.8
Gepatchte Version:Loginizer 1.7.9

Schritte zum Beheben: Auf Loginizer Plugin Version 1.7.9 oder höher patchen.

Ninja Forms – Reflected Cross Site Scripting (XSS)

Sicherheitsrisiko:Hoch
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-1835
Betroffene Software:Ninja Forms Contact Form <= 3.6.21
Gepatchte Version:Ninja Forms Contact Form 3.6.22

Schritte zum Beheben: Auf Ninja Forms Plugin Version 3.6.22 oder höher patchen.

ExactMetrics – Cross-Site Scripting (XSS)

Sicherheitsrisiko:Mittel
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-23880
Betroffene Software:ExactMetrics <= 7.14.1
Gepatchte Version:ExactMetrics 7.14.2

Schritte zum Beheben: Auf ExactMetrics Plugin Version 7.14.2 oder höher patchen.

PixelYourSite – Stored Cross-Site Scripting

Sicherheitsrisiko:Gering
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-2584
Betroffene Software:PixelYourSite <= 9.3.6
Gepatchte Version:PixelYourSite 9.3.7

Schritte zum Beheben: Auf PixelYourSite Plugin Version 9.3.7 oder höher patchen.

Otter Gutenberg Blocks – PHP Object Injection

Sicherheitsrisiko:Mittel
Schwachstelle:PHP Object Injection
CVE:CVE-2023-2288
Betroffene Software:Otter – Gutenberg Blocks <= 2.2.5
Gepatchte Version:Otter – Gutenberg Blocks 2.2.6

Schritte zum Beheben: Auf Otter – Gutenberg Blocks Plugin Version 2.2.6 oder höher patchen.

Chaty – Cross-Site Scripting (XSS)

Sicherheitsrisiko:Hoch
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-25019
Betroffene Software:Chaty <= 3.0
Gepatchte Version:Chaty 3.1

Schritte zum Beheben: Auf Chaty Plugin Version 3.1 oder höher patchen.

Simple Page Ordering – Broken Access Control

Sicherheitsrisiko:Mittel
Schwachstelle:Broken Access Control
CVE:CVE-2023-32798
Betroffene Software:Simple Page Ordering <= 2.5.0
Gepatchte Version:Simple Page Ordering 2.5.1

Schritte zum Beheben: Auf Simple Page Ordering Plugin Version 2.5.1 oder höher patchen.

MW WP Form – Directory Traversal

Sicherheitsrisiko:Mittel
Schwachstelle:Broken Access Control
CVE:CVE-2023-32798
Betroffene Software:MW WP Form <= 4.4.2
Gepatchte Version:MW WP Form 4.4.3

Schritte zum Beheben: Auf MW WP Form Plugin Version 4.4.3 oder höher patchen.

Download Monitor – Sensitive Data Exposure

Sicherheitsrisiko:Mittel
Schwachstelle:Sensitive Data Exposure
CVE:CVE-2022-45354
Betroffene Software:Download Monitor <= 4.7.69
Gepatchte Version:Download Monitor 4.7.70

Schritte zum Beheben: Auf Download Monitor Plugin Version 4.7.70 oder höher patchen.

Newsletter by Sendinblue – Reflected Cross-Site Scripting (XSS)

Sicherheitsrisiko:Hoch
Schwachstelle:Cross Site Scripting
Betroffene Software:Newsletter by Sendinblue <= 3.1.60
Gepatchte Version:Newsletter by Sendinblue 3.1.61

Schritte zum Beheben: Auf Newsletter by Sendinblue Plugin Version 3.1.61 oder höher patchen.

Slimstat Analytics – Reflected Cross Site Scripting (XSS)

Sicherheitsrisiko:Hoch
Schwachstelle:Reflected Cross Site Scripting
CVE:CVE-2022-45366
Betroffene Software:Slimstat Analytics <= 5.0.4
Gepatchte Version:Slimstat Analytics 5.0.5

Schritte zum Beheben: Auf Slimstat Analytics Plugin Version 5.0.5 oder höher patchen.

YARPP – SQL Injection

Sicherheitsrisiko:Hoch
Schwachstelle:SQL Injection
CVE:CVE-2023-0579
Betroffene Software:YARPP <= 5.30.2
Gepatchte Version:YARPP 5.30.3

Schritte zum Beheben: Auf YARPP Plugin Version 5.30.3 oder höher patchen.

Advanced Woo Search – Cross Site Scripting (XSS)

Sicherheitsrisiko:Gering
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-2452
Betroffene Software:Advanced Woo Search <= 2.77
Gepatchte Version:Advanced Woo Search 2.78

Schritte zum Beheben: Auf Advanced Woo Search Plugin Version 2.78 oder höher patchen.

Contact Form Entries – Cross Site Scripting (XSS)

Sicherheitsrisiko:Mittel
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-33311
Betroffene Software:Contact Form Entries <= 1.3.0
Gepatchte Version:Contact Form Entries 1.3.1

Schritte zum Beheben: Auf Contact Form Entries Plugin Version 1.3.1 oder höher patchen.

Contact Form Entries – SQL Injection

Sicherheitsrisiko:Hoch
Schwachstelle:SQL Injection
CVE:CVE-2023-31212
Betroffene Software:Contact Form Entries <= 1.3.0
Gepatchte Version:Contact Form Entries 1.3.1

Schritte zum Beheben: Auf Contact Form Entries Plugin Version 1.3.1 oder höher patchen.

WP-Piwik – Cross Site Scripting (XSS)

Sicherheitsrisiko:Gering
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-33211
Betroffene Software:WP-Piwik <= 1.0.27
Gepatchte Version:WP-Piwik 1.0.28

Schritte zum Beheben: Auf WP-Piwik Plugin Version 1.0.2.8 oder höher patchen.

Custom Field Suite – Cross Site Scripting (XSS)

Sicherheitsrisiko:Gering
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-32515
Betroffene Software:Custom Field Suite <= 2.6.2
Gepatchte Version:Custom Field Suite 2.6.3

Schritte zum Beheben: Auf Custom Field Suite Plugin Version 2.6.3 oder höher patchen.

Ultimate Dashboard – Stored Cross-Site Scripting

Sicherheitsrisiko:Gering
Schwachstelle:Cross Site Scripting (XSS)
Betroffene Software:Ultimate Dashboard <= 3.7.5
Gepatchte Version:Ultimate Dashboard 3.7.6

Schritte zum Beheben: Auf Ultimate Dashboard Plugin Version 3.7.6 oder höher patchen.

Easy Hide Login – Cross Site Scripting (XSS)

Sicherheitsrisiko:Gering
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-32505
Betroffene Software:Easy Hide Login <= 1.0.7
Gepatchte Version:Easy Hide Login 1.0.8

Schritte zum Beheben: Auf Easy Hide Login Plugin Version 1.0.8 oder höher patchen.

Post Snippets – Cross Site Scripting (XSS)

Sicherheitsrisiko:Gering
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-25459
Betroffene Software:Post Snippets <= 4.0.2
Gepatchte Version:Post Snippets 4.0.3

Schritte zum Beheben: Auf Post Snippets Plugin Version 4.0.3 oder höher patchen.

Zero Spam – SQL Injection

Sicherheitsrisiko:Gering
Schwachstelle:Cross Site Scripting (XSS)
CVE:CVE-2023-32121
Betroffene Software:Zero Spam for WordPress <= 5.4.4
Gepatchte Version:Zero Spam for WordPress 5.4.5

Schritte zum Beheben: Auf Zero Spam for WordPress Plugin Version 5.4.5 oder höher patchen.