:quality(80)/images.vogel.de/vogelonline/bdb/1759300/1759349/original.jpg "Security-Insider hat am 21. Oktober zum sechsten Mal in Folge die Security-Insider Readers' Choice Awards vergeben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1752700/1752770/original.jpg "Bitte notieren: Am 21. Oktober 2020, ab 15:00 Uhr, erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Security-Insider Award 2020.")
:quality(80)/images.vogel.de/vogelonline/bdb/1479500/1479577/original.jpg "Moderne Security Information und Event Management-Systeme (SIEM) helfen Unternehmen ihre IT-Sicherheit zentral zu überwachen und Risiken so immer im Blick zu halten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759600/1759678/original.jpg "Basierend auf 17 bekannten Schwachstellen hat Orca Security über 400.000 Anfälligkeiten in Virtual Appliances identifiziert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1761300/1761331/original.jpg "Den steigenden Security-Anforderungen durch immer gezieltere Angriffe und neuartige Bedrohungen werden althergebrachte Lösungen nicht mehr gerecht.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759600/1759669/original.jpg "Gebäudeeingang des BSI in Bonn")
:quality(80)/images.vogel.de/vogelonline/bdb/1759600/1759628/original.jpg "Die Gesundheitsbranche hat zwar viele IT-Hindernisse zu überwinden, dennoch gibt es Möglichkeiten, sich gegen Cyberangriffe zu verteidigen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1760300/1760319/original.jpg "In diesem Tool-Tipp zeigen wir, wie man die Open-Source-Firewall pfSense installiert und konfiguriert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1760200/1760215/original.jpg "Mobilfunkbetreiber und Unternehmen müssen sich proaktiv auf die Anforderungen einer neuen virtualisierten und sicheren 5G-Welt vorbereiten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759600/1759688/original.jpg "CloudGen WAN T93 und CloudGen WAN193 sind schon verfügbar, der Personal-Remote-Zugang soll bis Jahresende folgen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759700/1759770/original.jpg "Es gibt viele Gründe, warum Quantencomputer erhebliche Auswirkungen auf den Datenschutz in Bezug auf Datensicherheit und Vertraulichkeit der Kommunikation haben könnten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1756000/1756096/original.jpg "Beispiel für den Export der Testergebnisse eines Veracode SAST Pipeline Scans ins SARIF-Format.")
:quality(80)/images.vogel.de/vogelonline/bdb/1756000/1756077/original.jpg "GitHub hat die Funktion „Code Scanning“ allgemein verfügbar gemacht.")
:quality(80)/images.vogel.de/vogelonline/bdb/1754900/1754905/original.jpg "Von Technikern für Techniker: Der Security-Insider Deep Dive ist ein technisch tiefgehender Blick auf eine IT-Security-Lösung; hier die NoSpamProxy Cloud von Net at Work.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759700/1759714/original.jpg "Die Biometrie befindet sich noch am Anfang dessen, was sie in der Lage ist zu leisten, aber ihr Potenzial ist riesig.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759300/1759395/original.jpg "Ein CASB ist die Basis für das automatisierte Erkennen gefährlicher Schatten-IT und behält den gesamten Cloud-Verkehr im Unternehmen im Blick.")
:quality(80)/images.vogel.de/vogelonline/bdb/1758600/1758693/original.jpg "Identitätslösungen erleben im Zuge der Digitalisierung einen Boom.")
:quality(80)/images.vogel.de/vogelonline/bdb/1761200/1761234/original.jpg "Weil das Krankenhaus zum IT-Notfall wurde, mussten Rettungswagen samt Patienten längere Wege bewältigen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759600/1759681/original.jpg "Deutsche Unternehmen schützen ihre IT oftmals unzureichend.")
:quality(80)/images.vogel.de/vogelonline/bdb/1760200/1760262/original.jpg "Der Aufwand für Kauf und Betrieb einer DLP-Lösung ist überschaubar, der größte Faktor bleibt der Mensch.")
:quality(80)/images.vogel.de/vogelonline/bdb/1755000/1755036/original.jpg "Was sind die Top Drei auf der Wunschliste von IT-Sicherheitsexperten – und warum eigentlich?")
:quality(80)/images.vogel.de/vogelonline/bdb/1751800/1751850/original.jpg "Der Oktober steht ganz im Zeichen der IT-Sicherheit – und von Halloween.")
:quality(80)/images.vogel.de/vogelonline/bdb/1750800/1750892/original.jpg "Unternehmen müssen sich auf die Grundlagen der Cybersicherheit besinnen und neu überdenken, wie sie ihre Daten schützen.")
Summer of Pwnage findet Schwachstellen in Erweiterungen und Themes 24 Lücken in populären Wordpress-Plugins
Sicherheitsexperten haben sich populäre Plugins und Themes für Wordpress vorgenommen und diese im Rahmen des Summer of Pwnage auf Schwachstellen abgeklopft. Dabei wurden sie schnell fünding. In 24 Erweiterungen stecken Fehler, einige erlauben sogar den Zugriff auf die Wordpress-Installation.
Firma zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/86000/86039/65.jpg "tenable.jpg")
(Bild: Wordpress)
Die Sicherheitsexperten der Bug-Suche „Summer of Pwnage“ haben sich Wordpress, dessen populäre Plugins und Themes vorgenommen. Wie immer wenn diese Experten auf Systeme losgehen, ist das Ergebnis ernüchtern. Insgesamt 24 Schwachstellen wurden gefunden, betroffen sind Themes und populäre Plugins.
Übersicht über Schwachstellen
Ein Großteil der Schwachstellen entstehen durch Cross-Site-Scripting-Lücken. Darüber können die Angreifer auf die internen Funktionen des Plugins oder Themes zugreifen. Um Ihnen einen schnelleren Überblick zu geben, haben wir alle Schwachstellen in einer Tabelle zusammengestellt:
| Betroffen | Sicherheitslücke | Auswirkung | Link |
|---|---|---|---|
| Contact Form Manager - Plugin | CSRF / CSS | Ändern von Einstellungen | Details |
| User Login Log - Plugin | CSS | Zugriff auf Daten | Details |
| Adminer - Plugin | Datenbankzugriff | Zugriff auf Wordpress-Datenbank | Details |
| VaultPress - Plugin | Man in the Middle | Ausführen von Code | Details |
| Alpine PhotoTile - Plugin | CSS | Zugriff auf Daten | Details |
| Charitas Lite - Theme | CSS | Zugriff auf Daten | Details |
| Google Analytics Dashboard - Plugin | CSS | Zugriff auf Daten | Details |
| Popup by Supsystic - Plugin | CSRF | Zugriff auf Daten | Details |
| Formbuilder - Plugin | CSS | Zugriff auf Daten | Details |
| Atahualpa - Theme | CSS | Zugriff auf Daten | Details |
| Atahualpa - Theme | CSRF | Zugriff auf Daten | Details |
| Wordpress Download Manager - Plugin | CSRF | Zugriff auf Daten | Details |
| WP-SpamFree Anti-Spam - Plugin | CSS | Zugriff auf Daten | Details |
| WP-Filebase Download Manager - Plugin | CSS | Zugriff auf Daten | Details |
| TrustForm - Plugin | CSS | Zugriff auf Daten | Details |
| Admin Custom Login - Plugin | CSS | Zugriff auf Daten | Details |
| Admin Custom Login - Plugin | CSS | Zugriff auf Daten | Details |
| Analytics Stats Counter Statistics - Plugin | PHP Object Injection | Einspeisen von Code | Details |
| nBill Lite - Plugin | PHP Object Injection | Einspeisen von Code | Details |
| Tribulant Slideshow Galleries - Plugin | CSS | Zugriff auf Daten | Details |
| Doctors - Theme | CSS | Zugriff auf Daten | Details |
| Simple Ads Manager - Plugin | PHP Object Injection | Ausführen von Code (unbestätigt) | Details |
| Global Content Blocks - Plugin | CSRF | Ausführen von Code | Details |
| File Manager - Plugin | CSRF | Hochladen von Dateien | Details |
Updates noch nicht verfügbar
Aktuell gibt es noch keine Aktualisierungen für die verschiedenen Schwachstellen. Problematisch ist, dass die Informationen bereits in der Öffentlichkeit sind. Wer eins oder mehrere dieser Plugins oder Themes verwendet, sollte die Zugriffe auf sein Blog genau überprüfen. Sobald die Updates verfügbar sind, sollten sie schnellstmöglich installiert werden. Als nächstes wollen sich die Experten rund um den Summer of Pwnage übrigens das Internet of Things vonehmen. Wenn diese Untersuchung ähnlich ausfällt, dürften einige Hersteller bereits jetzt zittern.
(ID:44550806)
:quality(80)/p7i.vogel.de/dXohz47slg0CTmw_LOnViHk8Ey4=/500x500/wcms/d1/5d/d15df103667038/profile-image.jpg "Moritz Jäger")
:quality(80)/images.vogel.de/vogelonline/bdb/1266600/1266666/original.jpg "Auf Reisen gibt man sich in die Hände von Fremden - vor allem der Datenschutz leidet. Unsere Tipps helfen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1383800/1383837/original.jpg "Kali Linux bietet zahlreiche Werkzeuge, mit denen sich Speichermedien und Daten forensisch untersuchen lassen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1374900/1374960/original.jpg "Mit Kali Linux lassen sich potentielle Lücken in Servern schnell aufspüren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1674800/1674863/original.jpg "In diesem Tool-Tipp zeigen wir, wie man mit dem Open-Source-Tool DevAudit die IT-Sicherheit von gemischten Netzwerkumgebungen kontrolliert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1724000/1724080/original.jpg "Die Evolution der Applikationssicherheit")