WordPress

Der er opdaget en sårbarhed i et datamigreringsplugin til WordPress-websteder. Pluginet hedder All-in-One WP Migration og har 5 millioner aktive installationer. Det et værktøj til ikke-tekniske og uerfarne brugere, der anvendes til migrering af WordPress-websteder, der tillader eksport af databaser, medier, plugins og temaer til et enkelt arkiv.

Trusselaktører er i gang med at udnytte en kritisk WordPress 0-dagssårbarhed i et plugin. Denne gang er en sårbarhed i det såkaldte Ultimate Member-plugin, som kan anvendes til at oprette administratorkonti. De kan så bruges til at tage fuld kontrol over webstederne.

Fejlen har id’et CVE-2023-3460 og en CVSS-score på 9,8.

En mere end 10 år gammel kritisk sårbarhed i Jetpack blev ’tvangspatchet’ på fem millioner WordPress-websteder.

Det skriver Security Week og Bleeping Computer.

Det er sket for at adressere en kritisk sårbarhed i et Wordpress-plugin, Jetpack. Jetpack tilbyder ironisk nok sikkerhedsfunktioner såsom malware-scanning, real-time backup og gendannelse, spam og beskyttelse mod brute-force mm.

Ukendte trusselsaktører udnytter lige nu en nyligt rettet sårbarhed et særligt plugin til Wordpress, der hedder Elementor Pro. Det skriver The Hacker News m.fl.

WordPress-teamet har i sidste uge med udgivelsen af ​​version 6.0.2 af det populære CMS patchet tre sikkerhedsfejl, hvoraf den ene er alvorlig. Denne er en såkaldt SQL-injection, der gør det muligt for en angriber at forstyrre de forespørgsler, som en applikation foretager til sin database og fx se data, som de normalt ikke er i stand til at hente.

Det skriver Security Week.

Fejlen findes i WordPress Link-funktionaliteten, der tidligere var kendt som 'Bogmærker'. Den påvirker kun ældre installationer, da funktionen er deaktiveret som standard på nye installationer.

WordPress-websteder, der bruger Ninja Forms, er blevet tvangsopdateret massevis i denne uge. Det er sket for at adressere en kritisk sikkerhedssårbarhed, der sandsynligvis udnyttes 'in the wild'. Det skriver Bleeping Computer.

Der er fundet en sårbarhed i Wordpress-pluginet Downloadmanager. Det fremgår af en blogpost fra Wordpress’ sikkerhedsafdeling Wordfence. Sårbarheden har id’et CVE-2022-1985 og er relevant for alle versioner af WordPress Download Manager under version 3.2.42.

Blogposten skriver, at Wordfence ganske vist yder beskyttelse mod sårbarheden, men det anbefales at man opdaterer sit websted til den seneste patchede version af Download Manager, som altså er version 3.2.43.

Det populære CMS-system, WordPress, har fået en sikkerhedsopdatering, der håndterer tre sikkerhedsrettelser. Det fremgår af WordPress’ meddelelse om opdateringen, at alle versioner siden version 3.7 også er blevet opdateret.

Den nye version 5.9.2 er en sikkerhedsopdatering uden for cyklus. Den næste store release bliver version 6.0.

Har du en hjemmeside baseret på WordPress, så er det måske værd at læse videre.

Patchstack, som er en virksomhed dedikeret til at holde øje med WordPress-sikkerhed, har her i marts udgivet en hvidbog om WordPress-sikkerhedstilstanden i 2021, den såkaldte ’State of WordPress Security 2021’. Det skriver Bleeping Computer.

Rapporten tegner et ’dystert’ billede. Således har der i 2021 været en vækst på 150 pct i de indrapporterede sårbarheder sammenlignet med det foregående år, og 29 pct. af de kritiske fejl i WordPress-plugins har aldrig modtaget en sikkerhedsopdatering.

Et WordPress-plugin med over en million installationer har vist sig at indeholde en kritisk sårbarhed, der kan resultere i afvikling af vilkårlig kode på kompromitterede websteder. Det skriver The Hacker News.

Det pågældende plugin er det såkaldte Essential Addons til Elementor. Pluginet giver WordPress-webstedsejere et bibliotek med over 80 elementer og udvidelser, som hjælper dem med at designe og tilpasse sider og indlæg.