Business Security, Schutzprogramme, Sicher & Anonym

Update für WordPress-Plugin

18.03.2020

Cyberkriminelle hätten über verwundbare Popup-Builder-Versionen unter anderem schädlichen JavaScript-Code ausführen können.

Derzeit kommt das Plugin "Popup Builder" in mehr als 100.000 Installationen des Content Management Systems WordPress zum Einsatz. Über eine kürzlich entdeckte Schwachstelle mit "High"-Einstufung in Popup Builder (CVE-2020-10196, CVSS-v3-Score 8.3) hätten entfernte, unauthentifizierte Angreifer schädlichen JavaScript-Code in Popups injizieren können, der bei jeder Anzeige eines solchen zur Ausführung gekommen wäre.

Die zweite Schwachstelle trägt die CVE-Kennung CVE-2020-10195 und besitzt die Risikoeinstufung "Medium". Um sie auszunutzen, müsste der Angreifer am CMS angemeldet sein; allerdings genügen bereits Zugriffsrechte als Abonnent.

Mit solchen Rechten könnte er laut Wordfence-Team allen anderen Nutzern mit Subscriber-Rechten diverse Rechte in Verbindung mit der Funktionalität des Plugins einräumen. So etwa die Möglichkeit, Kategorien und Newsletter anzulegen und zu verwalten.

Abgesicherte Version veröffentlicht

Betroffen von beiden Schwachstellen sind alle Plugin-Versionen bis einschließlich 3.63. Die Entwickler von Popup Builder haben die vollständig abgesicherte Version 3.64.1 veröffentlicht. Sie steht auf der Download-Site von Popup Builder bereit.

Weitere Informationen

Mobile Sicherheit

Meldung auf Heise Online

Sicher im Netz unterwegs

Zurück

Diesen Beitrag teilen

Weitere Meldungen zum Thema

Schutzprogramme, Sicher & Anonym

Kinder sicher im Netz

Nahezu ein Drittel (30,6 Prozent) aller Eltern in Deutschland beurteilen Online-Inhalte mit gewalttätigem oder sexuellen Hintergrund als das schlimmste digitale Risiko für ihre Kinder zwischen 7 und 12 Jahren, wie der Kaspersky-Report "Parents fear for kids' online safety" zeigt. Darüber hinaus ist nahezu die Hälfte der Erziehungsberechtigten der Auffassung, das Online- und Nutzungsverhalten ihrer Kinder zu deren eigenem Schutz reglementieren und kontrollieren zu müssen.

Schutzprogramme, Sicher & Anonym, Verschlüsselung & Datensicherheit

Warnung vor Downloader EdLoader

Die Malware namens Win32.Downloader.EdLoader zielt zur Auslieferung ihrer Payload auf eine denkbar große Anwenderbasis mit ca. 1 Mrd. User von Google Drive ab und will so Passwörter ausspähen.

Sicher & Anonym, Verschlüsselung & Datensicherheit

Hacker missbrauchen Netflix

Check Point Research, die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd., verfolgt weiter die Zunahme der Bedrohungen, die das Coronavirus als Chance für kriminelle Aktivitäten im Internet begreifen. Jüngst haben die Sicherheitsforscher entdeckt, dass neben der Konferenzsoftware Zoom auch der sehr beliebte Streaming-Anbieter Netflix missbraucht wird.

Business Security, Sicher & Anonym

Hospitality-Gewerbe im Visier eines BadUSB Social Engineering-Angriffs

Der aktuelle Sicherheitsvorfall mit einem USB-Stick gestattet einen Blick darauf zuwerfen, wie Unternehmen zu leichtsinnigen Opfern werden könnten. Eine der ältesten Formen des modernen Social Engineerings ist der „Abwurf des mit Malware beladenen USB-Sticks auf dem Firmen-Parkplatz“.

Diese Themen könnten Sie auch interessieren!