Auf dieser Seite: [ausblenden]
Eine kritische Sicherheitslücke wurde im WordPress-Plugin "Kommentare - wpDiscuz" entdeckt, auf dem mehr als installiert wurde 80,000 Websites. Die Sicherheitsanfälligkeit wurde bereits behoben.
Betroffene Versionen des Plugins sind Versionen 7.0.0 - - 7.0.4. Laut Wordfence-Forschern, Die Sicherheitsanfälligkeit ermöglichte es nicht authentifizierten Angreifern, beliebige Dateien hochzuladen, einschließlich PHP-Dateien, Auf diese Weise wird die Remotecodeausführung auf dem Server der anfälligen Site ausgeführt.
Nachdem Sie die Entwickler des Plugins kontaktiert haben, Die Forscher lieferten vollständige Angaben zur Offenlegung, und schließlich wurde ein Patch zur Verfügung gestellt. Betroffene Websites sollten auf die Version aktualisiert werden 7.0.4 der Kommentare - wpDiscuz-Plugin, um Kompromisse zu vermeiden.
Weitere Informationen zu den Kommentaren - Sicherheitslücke im wpDiscuz-Plugin
Die Verwundbarkeit, als willkürlicher Datei-Upload beschrieben, wurde im neuesten Hauptversionsupdate des Plugins eingeführt, Wordfence sagt. Der Fehler wurde mit einem CVSS-Wert von bewertet 10, Dies ist äußerst kritisch, da dies zu Angriffen auf die Remotecodeausführung auf dem Server der betroffenen Site führen kann. Websitebesitzer, auf denen eine beliebige Version ausgeführt wird 7.0.0 zu 7.0., sollte ein Update auf die gepatchte Version in Betracht ziehen, 7.0.5, so schnell wie möglich.
wpDiscuz, Das wurde auf Tausenden von WordPress-Sites installiert, ist ein Plugin für reaktionsschnelle Kommentarbereiche. Das Plugin ermöglicht es Benutzern, Themen zu diskutieren und ihre Kommentare mithilfe eines Rich-Text-Editors anzupassen. In den neuesten Versionen 7.x.x des Plugins, Die Entwickler haben die Möglichkeit hinzugefügt, Bildanhänge in Kommentare aufzunehmen, die auf die jeweilige Site hochgeladen wurden. Dieser Neuzugang, jedoch, hatte keinen angemessenen Sicherheitsschutz, wodurch das kritische Problem entstand.
Lesen Sie auch Unsplash Plugin für WordPress: Nahtlose Integration für alle Websites
Es ist zu beachten, dass die wpDiscuz-Kommentare so gestaltet sind, dass nur Bildanhänge zulässig sind. “jedoch, aufgrund der verwendeten Funktionen zur Erkennung des Dateimimetyps, Die Überprüfung des Dateityps kann leicht umgangen werden, Nicht authentifizierte Benutzer können beliebige Dateitypen hochladen, einschließlich PHP-Dateien,” Wordfence erklärt.
Früher in diesem Monat, Das gleiche Team von Sicherheitsforschern meldete eine Sicherheitslücke in einem anderen WordPress-Plugin. Das KingComposer WordPress Plugin Es wurde festgestellt, dass es mehrere Sicherheitslücken gibt, die zur Zugriffskontrolle über gefährdete Websites führen können. Das Plugin wurde auf mehr als installiert 100,000 Websites. Die Forscher entdeckten ein ungepatchtes, reflektiertes Cross-Site-Scripting (XSS) Fehler im KingComposer-Plugin, identifiziert als CVE-2020-15299.
Alles ist behoben!
Das Problem ist 100% behoben und wpDiscuz ist sicher.
Sie können dies ignorieren, wenn Sie bereits auf aktualisiert haben 7.0.5 oder höhere Version (aktuelle Version ist 7.0.6).
Dies wurde behoben und die neue Version 7.0.5 wurde vor einer Woche veröffentlicht. Es gibt keine Probleme mit der aktuellen wpDiscuz-Version. Es ist 100% jetzt sichern.
Diese Art von Problemen tritt bei fast allen WordPress-Plugins auf, Es besteht also kein Grund zur Sorge, wenn Sie aktualisiert und auf dem neuesten Stand sind.
Aktualisieren Sie einfach Ihre Plugins weiter und stellen Sie sicher, dass Sie die neuesten Versionen verwenden.
Vielen Dank!
wpDiscuz Entwickler
Und einige Zahlen ...
Über 50% von wpDiscuz-Benutzern verwenden derzeit 7.x.x-Versionen. Es geht um 35,000 Websites.
30,000 von ihnen haben bereits aktualisiert, um zu sichern 7.0.5 und höhere Versionen während der letzten Woche. Und über 3,000 Websites werden täglich aktualisiert.
In zwei Tagen wird es also mit ziemlicher Sicherheit keine Website mit alten Unsicherheiten geben 7.0.0 - - 7.0.4 Versionen und fast alle Websites werden aktuell und sicher sein.
Hallo,
Vielen Dank für Ihren Besuch! Wir hoffen, dass alle Benutzer des Plugins es bereits aktualisiert haben, und niemand ist gefährdet. Wie du gesagt hast: Aktualisieren Sie einfach Ihre Plugins weiter und stellen Sie sicher, dass Sie die neuesten Versionen verwenden.
Vielen Dank,
HowToHosting.guides Team