Plug-in-Leck gefährdet eine Million Wordpress-Sites

Plug-in-Leck gefährdet eine Million Wordpress-Sites

Plug-in-Leck gefährdet eine Million Wordpress-Sites

(Quelle: Optinmonster.com)
31. Oktober 2021 - Eine fehlerhafte API-Endpoint-Implementierung im beliebten Wordpress-Plugin Optinmonster kann Angreifern unberechtigten Zugriff ermöglichen. Eine Aktualisierung auf die korrigierte Version 2.6.5 wird empfohlen.
Optinmonster heisst ein äusserst beliebtes Plug-in für Wordpress-Webseiten zur Verwaltung von Opt-In-Formularen. Wie jetzt "Bleeping Computer" meldet, wurde darin ein gravierendes Sicherheitsleck entdeckt, das Angreifern nicht autorisierte API-Zugriffe und die Offenlegung von sensitiven Daten ermöglicht. Betroffen sind alle Optinmonster-Versionen bis und mit 2.6.4.. Entdeckt wurde das Leck von den Machern der Wordpress-Firewall Wordfence. Im betreffenden Report heisst es, das Problem liege in einer unsicheren Implementierung der REST-API-Endpoints, die nicht autorisierten Angreifern den Zugriff ermöglichen würden.

Die Sicherheitsschwachstelle mit der Kennung CVE-2021-39341 wurde Ende September entdeckt, worauf am 7. Oktober die aktualisierte Plug-in-Version 2.6.5 veröffentlicht wurde. Wie es bei "Bleeping Computer" weiter heisst, wurden bei der Korrektur der Schwachstelle weitere Lecks entdeckt und es wird vermutet, dass ein Grossteil des Codes neu erstellt werden muss. Anwendern wird damit empfohlen auch alle Optinmonster-Updates, die in den kommenden Wochen erscheinen könnten, umgehend einzuspielen. (rd)

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER