Plug-in-Leck gefährdet eine Million Wordpress-Sites
Quelle: Optinmonster.com

Plug-in-Leck gefährdet eine Million Wordpress-Sites

Eine fehlerhafte API-Endpoint-Implementierung im beliebten Wordpress-Plugin Optinmonster kann Angreifern unberechtigten Zugriff ermöglichen. Eine Aktualisierung auf die korrigierte Version 2.6.5 wird empfohlen.
31. Oktober 2021

     

Optinmonster heisst ein äusserst beliebtes Plug-in für Wordpress-Webseiten zur Verwaltung von Opt-In-Formularen. Wie jetzt "Bleeping Computer" meldet, wurde darin ein gravierendes Sicherheitsleck entdeckt, das Angreifern nicht autorisierte API-Zugriffe und die Offenlegung von sensitiven Daten ermöglicht. Betroffen sind alle Optinmonster-Versionen bis und mit 2.6.4.. Entdeckt wurde das Leck von den Machern der Wordpress-Firewall Wordfence. Im betreffenden Report heisst es, das Problem liege in einer unsicheren Implementierung der REST-API-Endpoints, die nicht autorisierten Angreifern den Zugriff ermöglichen würden.


Die Sicherheitsschwachstelle mit der Kennung CVE-2021-39341 wurde Ende September entdeckt, worauf am 7. Oktober die aktualisierte Plug-in-Version 2.6.5 veröffentlicht wurde. Wie es bei "Bleeping Computer" weiter heisst, wurden bei der Korrektur der Schwachstelle weitere Lecks entdeckt und es wird vermutet, dass ein Grossteil des Codes neu erstellt werden muss. Anwendern wird damit empfohlen auch alle Optinmonster-Updates, die in den kommenden Wochen erscheinen könnten, umgehend einzuspielen. (rd)



Weitere Artikel zum Thema

Zero-Day-Leck im E-Commerce-Plug-in Fancy Product Designer

2. Juni 2021 - Wer in seinem Wordpress- oder Woocommerce-basierten Online-Shop das Plug-in Fancy Product Designer einsetzt, sollte dieses wegen einer Zero-Day-Schwachstelle sofort deinstallieren und erst wieder einspielen, wenn es eine gepatchte Version gibt.

Wordpress zwingt zum Plug-in-Update

25. Oktober 2020 - Für das Ausnutzen einer Schwachstelle im Wordpress-Plugin Loginizer ist im Netz bereits ein Proof-of-Concept verfügbar. Der Rollout eines Updates ist daher auch ohne Anwenderzustimmung angelaufen.

Sicherheitslecks im Wordpress-Plug-in Autoptimize

26. August 2020 - Im millionenfach installierten Wordpress-Plug-in Autoptimize klaffen zwei Sicherheitslücken. Der Entdecker einer der Schwachstellen will Anfang September einen Exploit veröffentlichen. Ein Update auf die aktualisierte Version 2.7.7 empfiehlt sich.

Kritische Lücke in Wordpress-Plug-in Rank Math

2. April 2020 - Über eine gefährliche Schwachstelle im SEO-Plug-in Rank Math können Angreifer beliebige registrierte User von Wordpress-Websites zum Administrator machen und so die Kontrolle über die Site übernehmen.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Zwerge traf Schneewittchen im Wald?
GOLD SPONSOREN
SPONSOREN & PARTNER