Auf dieser Seite: [ausblenden]
Ein weiteres anfälliges Plugin wurde kürzlich von Wordfence entdeckt (Trotz) Mannschaft. In Quiz und Survey Master wurden zwei Sicherheitslücken aufgedeckt (QSM) WordPress-Plugin auf mehr als installiert 30,000 Websites.
Quiz and Survey Master ist ein benutzerfreundliches Add-On für Websites. Damit können Benutzer verschiedene Quiz und Umfragen für WordPress-Sites erstellen. Dieses Website-Widget eignet sich auch zum Erstellen anderer interaktiver Formulare wie Umfragen und Fragebögen. Eine der Funktionen dieses Website-Tools ermöglicht es Websitebesitzern, Datei-Uploads als Antworttyp für ihr Quiz oder ihre Umfrage zu implementieren. Diese Funktion kann in einer Reihe von Szenarien nützlich sein, aber auch Hacker können davon profitieren.
Unglücklicherweise, Es wurde festgestellt, dass diese Funktion des Quiz- und Survey Master-WordPress-Plugins zwei Sicherheitslücken enthält. Die Mängel, als sehr kritisch eingestuft, Dies kann zu Angriffen auf die Remotecodeausführung führen, bei denen Angreifer beliebige Dateien hochladen oder Dateien von der Zielwebsite löschen, sowie wp-config.php. Diese Aktionen können dazu führen, dass betroffene Websites offline geschaltet oder die Kontrolle über sie übernommen werden.
Fehler im Quiz- und Umfrage-Master-Plugin behoben
Glücklicherweise, nach der Offenlegung der Schwachstellen, Sie wurden repariert:
Wir haben uns im Juli zunächst an das Plugin-Team gewandt 17, 2020 durch ihr Support-Forum und im Juli erneut verfolgt 21, 2020. Nach einer weiteren Woche ohne Antwort, Wir haben uns an ExpressTech gewandt, die Muttergesellschaft des Plugins, im Juli 28, 2020 … Sie antworteten im August 1, 2020 Bestätigung des korrekten Posteingangs, und wir haben die vollständigen Offenlegungsdetails am Montag gesendet, August 3, 2020. Ein Patch wurde nur wenige Tage später im August veröffentlicht 5, 2020, der Bericht sagt.
Die beiden Sicherheitsanfälligkeiten sind in der Funktion eines Plugins enthalten, mit der Websitebesitzer Datei-Uploads als Antwortformular für ein Quiz oder eine Umfrage implementieren können. Angenommen, eine Website verfügt über einen Fragebogen zur Bewerbung. Die Funktion ist eine ideale Lösung für das Hochladen eines PDF-Lebenslaufs oder einer Datei in einem anderen Format am Ende des Vorgangs.
Wie von Forschern gefunden, Diese Funktion wurde unsicher implementiert, da der Dateityp nur durch Überprüfen des Felds "Inhaltstyp" während eines Uploads überprüft wurde. Diese Überprüfung schien für eine sichere Implementierung dieser Funktion nicht ausreichend zu sein. Dies bedeutet, dass es leicht gefälscht werden kann. Zum Beispiel, Wenn ein Quiz mit einem Schritt zum Hochladen von Dateien so konfiguriert ist, dass nur TXT-Dateien akzeptiert werden, Hacker können eine ausführbare PHP-Datei als Textdatei hochladen, um die Überprüfungen des Plugins zu umgehen und bösartigen Code erfolgreich an Websitebesitzer zu liefern.
Glücklicherweise, Die Funktionalität muss für ein Quiz aktiviert und konfiguriert sein, damit sie problemlos genutzt werden kann. Deshalb, Es ist unwahrscheinlich, dass die meisten Sites, auf denen es auf dem Panel installiert ist, von diesem bestimmten Fehler ausgenutzt werden.
Der zweite Fehler wird ebenfalls als kritisch gekennzeichnet. Es kann Angreifern die Möglichkeit geben, beliebige Dateien von der Site zu löschen. Diese Sicherheitsanfälligkeit kann von Hackern ausgenutzt werden, die einen Zugriff auf Berechtigungen auf hoher Ebene einrichten können. Beide Fehler können es einem Angreifer ermöglichen, die Kontrolle über die gesamte Website und das Hosting zu übernehmen.
Die Fehler werden als Arbitrary File Upload beschrieben. Es ist noch kein CVE festgelegt, aber die CVSS-Punktzahl ist 10.00, was kritisch bedeutet. Somit, Benutzer des Quiz- und Survey Master WordPress-Plugins sollten auf die Version aktualisieren 7.0.1 sofort, damit ihre Websites’ kann vor Angriffen geschützt werden, die versuchen, diese Fehler auszunutzen.
Aus Gründen der Website-Sicherheit, Es wird dringend empfohlen, dass WordPress-Site-Administratoren nur glaubwürdigen Benutzern Zugriffsebenen bieten, die über der Abonnentenebene liegen. Außerdem, Vergessen Sie nicht, sichere Passwörter für diese Konten einzurichten, damit Angreifer sie nicht als Mittel zum Eindringen verwenden können.
Früher in diesem Monat, Wordfence-Forscher entdeckte mehrere Fehler im Newsletter-Plugin für WordPress. Einer der Fehler wurde kürzlich behoben, und die anderen beiden, die waren schwerer. Die letzteren Mängel waren ein reflektiertes Cross-Site-Scripting (XSS) Fehler und ein Problem mit der PHP-Objektinjektion. Glücklicherweise, nachdem Sie die Autoren des Plugins kontaktiert haben, Die Sicherheitslücken wurden in einer neuen Pressemitteilung schnell behoben.
VERTRAUEN SIE NICHT QSM, DIE SIE GEWARNT WURDEN. ES SAGTE 14 Tagesversuch und für eine Rückerstattung habe ich es gekauft. Hatte schlechte Nachrichten trauerte, also versuchte ich es auf dat 14. Ich hasste es fühlte mich klobig an, verwirrend zu bedienen und überhaupt nicht geeignet für das, was ich brauchte. Sie änderten dann ihre Bedingungen, um zu sagen 7 Tage für eine Rückerstattung und jetzt wird mich nicht zurückerstatten. Absolut widerlich. Bitte verwenden Sie QSM NICHT, aber Sie wurden gewarnt. Sie brauchen viel zu lange, um auch zu antworten. Einfach schrecklich. Nicht das, was ich gerade brauche.
Hallo Melissa,
Tut mir leid, von Ihrer Erfahrung zu hören. Hast du endlich eine Antwort bekommen??