Kommentare - wpDiscuz WordPress Plugin enthält kritische Sicherheitslücken


Eine kritische Sicherheitslücke wurde im WordPress-Plugin "Kommentare - wpDiscuz" entdeckt, auf dem mehr als installiert wurde 80,000 Websites. Die Sicherheitsanfälligkeit wurde bereits behoben.

Betroffene Versionen des Plugins sind Versionen 7.0.0 - - 7.0.4. Laut Wordfence-Forschern, Die Sicherheitsanfälligkeit ermöglichte es nicht authentifizierten Angreifern, beliebige Dateien hochzuladen, einschließlich PHP-Dateien, Auf diese Weise wird die Remotecodeausführung auf dem Server der anfälligen Site ausgeführt.

Nachdem Sie die Entwickler des Plugins kontaktiert haben, Die Forscher lieferten vollständige Angaben zur Offenlegung, und schließlich wurde ein Patch zur Verfügung gestellt. Betroffene Websites sollten auf die Version aktualisiert werden 7.0.4 der Kommentare - wpDiscuz-Plugin, um Kompromisse zu vermeiden.

Weitere Informationen zu den Kommentaren - Sicherheitslücke im wpDiscuz-Plugin

Die Verwundbarkeit, als willkürlicher Datei-Upload beschrieben, wurde im neuesten Hauptversionsupdate des Plugins eingeführt, Wordfence sagt. Der Fehler wurde mit einem CVSS-Wert von bewertet 10, Dies ist äußerst kritisch, da dies zu Angriffen auf die Remotecodeausführung auf dem Server der betroffenen Site führen kann. Websitebesitzer, auf denen eine beliebige Version ausgeführt wird 7.0.0 zu 7.0., sollte ein Update auf die gepatchte Version in Betracht ziehen, 7.0.5, so schnell wie möglich.

wpDiscuz, Das wurde auf Tausenden von WordPress-Sites installiert, ist ein Plugin für reaktionsschnelle Kommentarbereiche. Das Plugin ermöglicht es Benutzern, Themen zu diskutieren und ihre Kommentare mithilfe eines Rich-Text-Editors anzupassen. In den neuesten Versionen 7.x.x des Plugins, Die Entwickler haben die Möglichkeit hinzugefügt, Bildanhänge in Kommentare aufzunehmen, die auf die jeweilige Site hochgeladen wurden. Dieser Neuzugang, jedoch, hatte keinen angemessenen Sicherheitsschutz, wodurch das kritische Problem entstand.


Lesen Sie auch Unsplash Plugin für WordPress: Nahtlose Integration für alle Websites


Es ist zu beachten, dass die wpDiscuz-Kommentare so gestaltet sind, dass nur Bildanhänge zulässig sind. “jedoch, aufgrund der verwendeten Funktionen zur Erkennung des Dateimimetyps, Die Überprüfung des Dateityps kann leicht umgangen werden, Nicht authentifizierte Benutzer können beliebige Dateitypen hochladen, einschließlich PHP-Dateien,” Wordfence erklärt.

Früher in diesem Monat, Das gleiche Team von Sicherheitsforschern meldete eine Sicherheitslücke in einem anderen WordPress-Plugin. Das KingComposer WordPress Plugin Es wurde festgestellt, dass es mehrere Sicherheitslücken gibt, die zur Zugriffskontrolle über gefährdete Websites führen können. Das Plugin wurde auf mehr als installiert 100,000 Websites. Die Forscher entdeckten ein ungepatchtes, reflektiertes Cross-Site-Scripting (XSS) Fehler im KingComposer-Plugin, identifiziert als CVE-2020-15299.

3 Kommentare

  1. BenutzerbildTom

    All is fixed!
    The problem is 100% fixed and wpDiscuz is safe.
    You can ignore this if you’ve already updated to 7.0.5 oder höhere Version (current version is 7.0.6).
    This was fixed and the new version 7.0.5 was released a week ago. There is not any issues with current wpDiscuz version. It’s 100% secure now.
    This kind of issues happens with almost all WordPress plugins, so there is no reason to worry if you’ve updated and up to date.
    Just keep updating your plugins and make sure you’re using the latest versions.

    Vielen Dank!
    wpDiscuz Developers

    Antworten
  2. BenutzerbildTom

    And some numbers…
    Über 50% of wpDiscuz users are currently using 7.x.x versions. It’s about 35,000 Websites.
    30,000 of them have already updated to secure 7.0.5 and higher versions during last week. And about 3,000 websites are updating every day.
    So in one two days there almost certainly won’t be any website with old unsecure 7.0.0 - - 7.0.4 versions and almost all websites will be up to date and safe.

    Antworten
  3. HTH_EditorsHTH_Editors (Beitrag Autor)

    Hi there,

    Thank you for stopping by! We hope that all users of the plugin have already updated it, and no one is at risk. Like you said: Just keep updating your plugins and make sure you’re using the latest versions.

    Thanks,
    HowToHosting.guide’s team

    Antworten

Schreibe einen Kommentar

Deine Email-Adresse wird nicht veröffentlicht. erforderliche Felder sind markiert *

Das Zeitlimit ist erschöpft. Bitte laden Sie CAPTCHA neu.