Normale Ansicht

Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.
Ältere BeiträgeHaupt-Feeds

WordPress-Plugin Fastest Cache ermöglicht SQL-Injection

16. November 2023 um 12:35

Experten von WPScan haben während einer internen Überprüfung des WordPress Fastest Cache Plugins eine schwerwiegende SQL-Injection-Schwachstelle entdeckt.

Diese Schwachstelle ermögliche es nicht authentifizierten Angreifern unter Umständen, den gesamten Inhalt der WordPress-Datenbank mithilfe eines zeitbasierten blinden SQL-Injection-Payloads zu lesen, heißt es in der Mitteilung von WPScan.

Nach Entdecken der Schwachstelle habe man das Plugin-Entwicklungsteam alarmiert, das die Version 1.2.2 veröffentlicht habe, die das Problem behebe, teilen die Security-Experten mit. Administratoren sollten sicherstellen, dass ihre WordPress-Installationen vollständig aktualisiert sind, um sich vor dieser Sicherheitslücke zu schützen, heißt es weiter.

Der Beitrag WordPress-Plugin Fastest Cache ermöglicht SQL-Injection erschien zuerst auf Linux-Magazin.

WordPress 6.4 mit neuem Theme und Verbesserungen

09. November 2023 um 08:22

Die neue Version 6.4 des Content-Management-Systems WordPress bietet ein neues Theme, eine verbesserte Symbolleiste und eine überarbeitete Befehlspalette. Vorlagen lassen sich in Kategorien sammeln, zudem haben die Entwickler bei den Bildern nachgelegt.

Das neue Standard-Theme Twenty Twenty-Four richtet sich vor allem an Autoren, Künstler und Unternehmen. Wie das breite Anwendungsspektrum zeigt, ist das Theme äußert flexibel einsetzbar.

Bei der Eingabe von Text erscheint über ihm eine schwebende Symbolleiste mit häufig benötigten Formatierungsaktionen, wie etwa Fettdruck. In WordPress 6.4 verhält sie sich bei Navigation-, List- und Quote-Blöcken etwas anders: Dort schwebt sie ab sofort über dem ganzen Block und nicht mehr über dem gerade bearbeiteten Child-Block. Dies verbessert vor allem die Übersicht.

Autoren können direkt in der Link-Vorschau festlegen, dass sich die Seite in einem neuen Tab öffnen soll. Im Navigation-Block darf man zudem Schaltflächen hinzufügen. Listen lassen sich zudem jetzt einfacher zusammenführen.

Überarbeitet haben die Entwickler auch die Befehlspalette, die mit der Vorversion eingeführt wurde und über die man schnell eine gesuchte Aktion aufruft. In WordPress 6.4 präsentiert sie sich in einer aufgefrischten Optik und kennt Block-spezifische Aktionen.

Das CMS legt auch bei den Bildern nach: So darf man Group-Blöcke nicht nur umbenennen, sondern auch mit einem Hintergrundbild tapezieren. WordPress 6.4 bietet von Haus aus den Lightbox-Effekt – bisher musste man dazu auf Plugins zurückgreifen. Die List View bietet neue Vorschauen für Gallery- und Image-Blöcke und kennt neue Tastenkürzel.

Vorlagen darf man nicht nur in Kategorien gruppieren, sondern auch nach weiteren Kriterien filtern. Darüber hinaus lassen sich Vorlagen im JSON-Format exportieren und in einer anderen WordPress-Installation wieder importieren. Dies soll vor allem den Austausch von Vorlagen vereinfachen.

In frischen Installationen deaktiviert WordPress 6.4 standardmäßig die Anhang-Seiten. Sie präsentierten jeden hochgeladenen Anhang noch einmal auf einer eigenen Seite. Diese Seiten enthalten jedoch keine sinnvollen Informationen. Zudem landen sie im Index von Suchmaschinen, von wo aus Besucher dann auf den eher kargen Anhang-Seiten landen. Aus diesem Grund haben sich die WordPress-Entwickler dazu entschieden, sie nicht mehr standardmäßig generieren zu lassen. Bestehende WordPress-Installationen erzeugen die Anhang-Seiten nach einem Update jedoch weiterhin. WordPress 6.4 ist der Jazz-Musikerin Shirley Horn gewidmet.

Der Beitrag WordPress 6.4 mit neuem Theme und Verbesserungen erschien zuerst auf Linux-Magazin.

Joomla 5 bringt Verbesserungen

20. Oktober 2023 um 07:07

Mit der Version 5 des Content Management Systems Joomla kommt eine neue Major-Version zu den Nutzern. Neue Funktionen, Sicherheits- und Code-Verbesserungen und eine erhöhte Geschwindigkeit versprechen die Entwickler.

Zu den Verbesserungen zählt der Dark Mode für Administratoren. Die neue Schema.org-Integration ermöglicht die automatische Aktivierung von Schema.org-Daten und verbessert über diese Metainformationen die Suchmaschinenoptimierung.

Durch die automatische Quellcode-Optimierung mit dem phpcs-Fixer können laut dem Projekt Geschwindigkeitssteigerungen erzielt werden und mit PHP 8+ und einem Update auf Bootstrap 5.3.2 bleibt die Plattform aktuell.

Der TinyMCE-Editor hat laut der Ankündigung ein Update auf 6.7 erhalten und bietet damit zusätzlichen Funktionen zur Bildausrichtung.

Joomla 5 führt zudem Fontawesome 6.4 und Codemirror 6 ein und hat seine Webauthn-Bibliothek aktualisiert.  Joomla benötigt jetzt PHP 8.1, MySQL 8.0.13+, MariaDB 10.4+ und PostgreSQL 12+ für optimale Leistung. Eine weitere Änderung sei, dass der Schritt von Joomla 4.4.x zu Joomla 5.x nicht als Migration, sondern als Upgrade bezeichnet werde. Wer dieses Upgrade ausführt, sollte allerdings prüfen, ob nachträglich installierte Erweiterungen nicht veraltete Schnittstellen ansprechen. Ein Probelauf in einer Testumgebung kann daher nicht schaden.

Der Beitrag Joomla 5 bringt Verbesserungen erschien zuerst auf Linux-Magazin.

WordPress 6.3.2 schließt Lücken

13. Oktober 2023 um 10:12

Die aktuelle WordPress-Version bringt diverse Updates, darunter auch Patches für acht Sicherheitsprobleme.

Produktpflege und Sicherheit sind die Hauptmerkmale von WordPress 6.3.2. Eines der genannten Sicherheitsprobleme könne dafür sorgen, dass Kommentare zu privaten Beiträgen an andere Nutzer weitergegeben werden könnten. Weiterhin haben Experten eine Lücke entdeckt, die es einem angemeldeten Benutzer erlaubt einen beliebigen Shortcode auszuführen. XSS-Schwachstellen in der Passwortseite der Anwendung und im Fußnotenblock sind ebenfalls genannt.

Mit dem Maintenance-Teil von WordPress 6.3.2 behebt das Wartungs-Team zudem 22 Bugs im Block-Editor und 19 Fehler im Core. Das komplette Changelog steht derzeit noch aus.

Der Beitrag WordPress 6.3.2 schließt Lücken erschien zuerst auf Linux-Magazin.

Ninja Forms macht WordPress unsicher

31. Juli 2023 um 07:35

Drei Sicherheitslücken haben die Experten von Patchstack im WordPress-Plugin Ninja Forms entdeckt. Damit sei eine Ausweitung der Rechte und ein damit möglicher Datenklau verbunden, berichten die Sicherheitsexperten.

Nutzer von WordPress und dem sehr populären Formulartool Ninja Forms sollten das Plugin auf Version 3.6.26 aktualisieren. In dieser Version seien die Probleme behoben, alle früheren Versionen

Bei der ersten Schwachstelle handelt es sich laut Mitteilung von Patchstack um ein POST-basiertes reflektiertes XSS. Diese Lücke könnte es jedem nicht authentifizierten Benutzer ermöglichen, sensible Informationen zu stehlen, um in diesem Fall die Rechte auf der WordPress-Website zu erweitern, indem er privilegierte Benutzer dazu bringt, die manipulierte Website zu besuchen. Die beschriebene Sicherheitslücke sei in Version 3.6.26 behoben und mit CVE-2023-37979 gekennzeichnet.

Bei der zweiten und dritten Sicherheitslücke handle es sich um eine nicht funktionierende Zugriffskontrolle für die Exportfunktion von Formularübermittlungen. Diese Schwachstelle ermöglicht es Benutzern mit der Rolle Abonnent und Mitwirkender, alle Ninja Forms-Eingaben auf einer WordPress-Website zu exportieren. Die beschriebene Sicherheitslücken seien in Version 3.6.26 behoben und mit CVE-2023-38393 und CVE-2023-38386 gekennzeichnet.

Der Beitrag Ninja Forms macht WordPress unsicher erschien zuerst auf Linux-Magazin.

Kritische Lücke in WordPress-Plugin Essentials Addon for Elementor

15. Mai 2023 um 09:54

Das WordPress-Plugin Essentials Addon for Elementor bringt eine kritische Sicherheitslücke mit. Angreifer könnten so eine WordPress-Instanz kompromittieren. Das Plugin bringt es auf rund eine Million aktiver Installationen.

In einem Update des Plugins auf Version 5.7.2 ist die Lücke geschlossen. Admins sollten rasch ein Update machen. Die Entdecker der Lücke, Experten vom WordPress-Sicherheitsanbieter Patchstack schreiben von einer Rechteausweitung, die ohne vorherige Authentifizierung möglich ist. Sie ermögliche es jedem nicht authentifizierten Benutzer, seine Rechte auf die Rechte eines beliebigen Benutzers auf der WordPress-Site auszuweiten, heißt es im Bericht zum Sicherheitsproblem.

Es sei etwa möglich, das Passwort jedes Benutzers zurückzusetzen, solange sein Benutzername bekannt sei, sodass man auch das Passwort des Administrators zurücksetzen und sich bei seinem Konto anmelden könne. Diese Sicherheitslücke trete auf, weil die Funktion zum Zurücksetzen des Passworts einen Passwort-Reset-Schlüssel nicht validiere, sondern stattdessen das Passwort des angegebenen Benutzers direkt ändere.

Der Beitrag Kritische Lücke in WordPress-Plugin Essentials Addon for Elementor erschien zuerst auf Linux-Magazin.

Drupal-Modul Protected Pages lässt Angreifer durch

14. April 2023 um 10:47

Statt wie versprochen mit Drupal erstellte Webseiten mit Passwörtern zu sichern, ermöglicht das Modul Protected Pages das Umgehen des Passworts.

Die Entwickler des freien Content Management Systems Drupal warnen in einer knappen Meldung vor dem Sicherheitsproblem. Die als kritisch eingestufte Lücke im Modul schränke den Zugriff auf den Seiteninhalt nicht ausreichend ein, heißt es weiter.

Wer das Modul unter Drupal 8, 9 oder 10 einsetze, sollte umgehend die neue Version “protected_pages 8.x-1.6” installieren. Die sei gegen das Problem gewappnet, teilen die Entwickler mit. Wie der Angriff stattfinden kann, ist nicht beschrieben. Es heißt in der Warnmeldung lediglich, dass es möglich sei, den Passwortschutz zu umgehen.

Der Beitrag Drupal-Modul Protected Pages lässt Angreifer durch erschien zuerst auf Linux-Magazin.

WordPress-Plugin Elementor Pro wird aktiv angegriffen

03. April 2023 um 09:16

Mit der Version 3.11.7 des WordPress-Plugins Elementor Pro beheben die Entwickler eine kritische Sicherheitslücke, die es Angreifern unter Umständen erlaubt, WordPress sich als Administrator auszuführen.

Mit der Kombination Elementor Pro und dem auf der Website laufenden WooCommerce-Plugin sei es jedem authentifizierten Benutzer, etwa in der Rolle als “Abonnent” oder “Kunde” – möglich, beliebige WordPress-Einstellungen auf der Website zu aktualisieren, teilen die Entdecker der Lücke vom Sicherheitsanbieter Patchstack mit. Verantwortlich für die Lücke sei eine AJAX-Aktion von Elementor Pro, die nicht über eine angemessene Berechtigungskontrolle verfüge. Die Elementor-Pro-Versionen 3.11.6 und darunter seien von dieser Sicherheitslücke betroffen.

Die mangelhafte Kontrolle ermögliche es einem böswilligen Angreifer, die Registrierungsseite zu aktivieren – falls sie deaktiviert sei – und die Standardbenutzerrolle auf Administrator zu setzen, so dass er ein Konto erstellen könne, das über Administratorrechte verfüge. Danach sei es wahrscheinlich, dass er die Website entweder auf eine bösartige Domain umleite oder ein sonstige schädliche Aktionen ausführe, etwa ein bösartiges Plugin oder eine Backdoor zu installieren, um die Website weiter ausnutzen zu können.

Mit dem kürzlich veröffentlichten Elementor Pro 3.11.7 werde das Problem behoben. Da die Lücke bereits aktiv ausgenutzt werde, sei ein rasches Update nötig, teilt Patchstack in seinem Beitrag zur Lücke mit.

Der Beitrag WordPress-Plugin Elementor Pro wird aktiv angegriffen erschien zuerst auf Linux-Magazin.

WordPress 6.2 bietet rund 300 Verbesserungen

03. April 2023 um 07:29

Wie bei jeder neuen Version bringt auch die jüngste Fassung 6.2 des Content-Management-Systems WordPress zahlreiche kleinere Änderungen an den Blöcken mit. Weitere Neuerungen betreffen den Site-Editor.

In ihm erlaubt jetzt die linke Seitenleiste den Wechsel zwischen Templates und Template-Teilen, ohne dafür die Vorschau schließen zu müssen. Des Weiteren bietet der Site-Editor ein Stilbuch an. Dieses wiederum zeigt an, wie alle Blöcke im derzeit aktiven Theme aussehen. Den Stil eines Blocks kann man zudem mit wenigen Mausklicks auf einen anderen Block übertragen.

Die Menüs im Navigations-Block lassen sich über eine Baumstruktur in der Block-Seitenleiste einfacher bearbeiten. Für Header- und Footer hat WordPress 6.2 neue Block-Vorlagen im Gepäck.

Beim Block-Inserter zeigt das Register für die Block-Vorlagen eine Liste mit Kategorien sowie nach einem Mausklick darauf die zugehörigen Vorlagen. Des Weiteren lässt sich aus dem Medien-Tab die Mediathek aufrufen. Obendrauf gibt es noch eine Integration von Openverse, einer Bilder- und Audio-Sammlung. Alle über diese Plattform angebotenen Medien lassen sich zwar kostenlos nutzen, dennoch müssen Seitenbetreiber die Lizenzen beachten.

Der Block-Editor lässt sich in einen ablenkungsfreien Modus schalten, in dem er sämtliche Bedienelemente ausblendet. Auf diese Weise können sich Autoren auf den eigentlichen Text konzentrieren. Fügt man Gruppen-Blöcke auf der obersten Ebene ein, lassen sie sich als „sticky“ kennzeichnen. WordPress klebt sie dann an den oberen (Viewport-)Rand, wenn die Besucher auf der Seite scrollen.

Die Standard-Themes bringen die genutzten Google-Fonts jetzt direkt mit und setzen nicht nur Links auf die Google-Server. Damit erhöhen die WordPress-Entwickler den Datenschutz.

Die Version 6.2 ist dem Jazz-Musiker Eric Allan Dolphy Jr. gewidmet.

Der Beitrag WordPress 6.2 bietet rund 300 Verbesserungen erschien zuerst auf Linux-Magazin.

Kritische Lücke in CMS Joomla

17. Februar 2023 um 09:33

Im freien Content Management System Joomla in den Versionen 4.0.0 bis 4.2.7 steckt eine kritische Sicherheitslücke. Ein Update ist verfügbar.

Im Sicherheitsrelease mit der Versionsnummer 4.2.8 für die 4.x Serie von Joomla wird die kritische Sicherheitslücke geschlossen, teilen die Entwickler mit. Das Problem steckte demnach in der Web Services API. Dort ermögliche eine unzulängliche Zugriffsprüfung unberechtigten Zugriff auf Webservice-Endpunkte.

Nutzern wird dringend empfohlen, das Update einzuspielen. Hinweise auf einen öffentlichen Exploit gebe es aber nicht, beruhigen die Entwickler.

Nach der Freigabe sei es auch dringend angeraten, die Kennwörter für alle Anmeldeinformationen zu erneuern, die in der globalen Website-Konfiguration gespeichert sind, nämlich für Datenbank, SMTP, Redis, HTTP-Proxy.

Der Beitrag Kritische Lücke in CMS Joomla erschien zuerst auf Linux-Magazin.

Typo3 ermöglicht Cross Site Scripting

10. Februar 2023 um 09:03

Das Content Management System Typo3 leidet an einer Cross-Site-Scripting-Lücke, über die sich Schadcode einschleusen lässt.

Die als hochkritisch eingestufte Lücke steckt in der Kernkomponente GeneralUtility::getIndpEnv(), die die ungefilterte Server-Umgebungsvariable PATH_INFO verwendet, über die Angreifer bösartige Inhalte einspeisen können, heißt es in der Sicherheitswarnung von Typo3.

In Kombination mit der TypoScript-Einstellung config.absRefPrefix=auto können Angreifer dann HTML-Code in Seiten einschleusen, die noch nicht gerendert und gecached wurden. Somit würden die injizierten Werte zwischengespeichert und an andere Website-Besucher weitergegeben.

Betroffen sind die Typo3-Versionen 8.7.0 bis 8.7.50, 9.0.0 bis 9.5.39, 10.0.0 bis 10.4.34, 11.0.0 bis 11.5.22, 12.0.0 bis 12.1.3. Ein Update auf die jeweils aktuellste Version schließt die Lücke.

Bei Websites, die aus irgendwelchen Gründen nicht gepatcht werden können, empfehlen die Entwickler zumindest die TypoScript-Einstellung config.absRefPrefix auf einen statischen Pfadwert zu setzen und nicht “auto” zu verwenden, Dies behebe aber nicht alle Aspekte der Schwachstelle und sei nur als Zwischenlösung zu sehen.

Der Beitrag Typo3 ermöglicht Cross Site Scripting erschien zuerst auf Linux-Magazin.

Sicherheitslücken in WordPress-Plugin Learnpress

26. Januar 2023 um 11:07

Das WordPress-Plugin Learnpress in Versionen 4.1.7.3.2 und kleiner weist kritische Sicherheitslücken auf. Mit über 100.000 aktiven Installationen ist das umfangreiche Lernmanagement-Plugin sehr populär.

Mit Learnpress lassen sich einfach Kurse online erstellen und verkaufen. Anbieter Patchstack meldet mehrere kritische Sicherheitslücken im Plugin. Ein Update auf beseitigt die Probleme

Diese Schwachstellen ermöglichen es jedem nicht authentifizierten Benutzer, eine SQL-Abfrage in die Datenbank einzuschleusen und eine lokale Dateieinbindung durchzuführen. Zudem sei eine weitere SQL-Injection gefunden worden, für deren Ausnutzung ein Benutzer aber mit mindestens der Rolle “Contributor” erforderlich wäre.

Die beschriebenen Sicherheitslücken seien in Version 4.2.0 behoben, teilt Patchstack mit. Die neue Version ist bereits seit einigen Wochen zu haben, es seien aber noch viele Installationen nicht auf dem aktuellen Stand.

Der Beitrag Sicherheitslücken in WordPress-Plugin Learnpress erschien zuerst auf Linux-Magazin.

Drupal 10 ist fertig

19. Dezember 2022 um 16:34

Mit neuen Funktionen und Themes zeigt sich das freie Content Management System Drupal in der Version 10.

Nach rund zweieinhalb Jahren Arbeit folgt Drupal 10 auf die im Mai 2020 veröffentlichte Ausgabe 9. Zu den Neuerungen zählen die Entwickler das Backend-Theme Claro, das Frontend-Theme Olivero, und den CKEditor 5.

Das Backend-Theme Claro ersetzt dabei das Theme Seven und Olivero folgt auf Bartik. Mit der Einführung von CKEditor 5 sollen bessere Authoring-Möglichketen einhergehen. Er ersetzt den CKEditor 4.

Unter der Haube kommt das PHP-Framework Symfony 6 zum Zug und löst Symfony 4 ab. PHP 8.1 sei dafür notwendig, um das System sicher betreiben zu können, heißt es seitens der Entwickler.

Simultan zu Drupal 10 ist auch Drupal 9.5 erschienen. Ein Upgrade von Version 9 auf Version 10 erfolge am einfachsten, wenn zuvor Version 9.5 eingespielt sei, heißt es von den Entwicklern. Mindestens muss aber Drupal 9.4.4 vorhanden sein. Auf dieser Webseite sind die nötigen Schritte beschrieben.

Der Beitrag Drupal 10 ist fertig erschien zuerst auf Linux-Magazin.

Typo3 braucht Update gegen Sicherheitslücken

15. Dezember 2022 um 15:55

Die Macher des Content Management Systems Typo3 haben neue Versionen der Software veröffentlicht. Damit werden Sicherheitslücken geschlossen, von denen eine mit hohem Risiko bewertet ist.

Mit den Versionen Typo3 12.1.1, 11.5.20 und 10.4.33 reagieren die Entwickler auf Sicherheitsprobleme. Alle Updates seien reine Sicherheitsreleases und würden wichtige Fixes für die Lücken enthalten, heißt es in der Ankündigung. Von den insgesamt sechs aufgezählten Problemen zählt diejenige mit der CVE-2022-23503 zu den schwerwiegenden. Über sie lässt sich Code einschleusen. Grund dafür sei die fehlende Trennung der vom Benutzer übermittelten Daten von der internen Konfiguration im Backend-Modul Form Designer. Darüber sei es möglich, Code zu injizieren, der dann über TypoScript als PHP-Code verarbeitet und ausgeführt werde, heißt es im Security-Bulletin.

Wie die Entwickler weiter mitteilen, gilt für alle nun veröffentlichten Versionen, dass dafür keine Datenbank-Upgrades erforderlich seien. In der Ankündigung sind Installationshinweise verlinkt und Informationen zu den weiteren Sicherheitslücken.

Der Beitrag Typo3 braucht Update gegen Sicherheitslücken erschien zuerst auf Linux-Magazin.

❌
❌