Sicherheitsupdate für WordPress erschienen und angreifbares Plug-in repariert
In der aktuellen WordPress-Version 6.3.2 haben die Entwickler mehrere Sicherheitslücken geschlossen.
(Bild: serato/shutterstock.com)
Um Attacken vorzubeugen, sollten Admins ihre WordPress-Websites auf den aktuellen Stand bringen. Außerdem gibt es Sicherheitspatches für das tagDiv-Composer-Plug-in und das Newspaper Theme.
CMS-Lücken
In einem Beitrag listen die Entwickler die Neuerungen von WordPress 6.3.2 auf. Darunter fallen unter anderem Sicherheitsupdates für sieben Schwachstellen, die alle mit dem Bedrohungsgrad "mittel" eingestuft sind.
Nach erfolgreichen Attacken können Angreifer etwa Kommentare von geschützten Beitragen einsehen oder DoS-Attacken ausführen.
Schwachstelle in Plug-in
Sicherheitsforscher von Sucuri warnen vor Attacken mit der Balada-Malware. Dafür sollen die Angreifer eine Lücke im tagDiv-Composer-Plug-in (CVE-2023-3169, CVSS 6.1/10, Schweregrad "mittel") und dem Newspaper Theme ins Visier nehmen. Auch die Versionsnummern der gepatchten Ausgaben erwähnen sie nicht. In ihrem Beitrag sprechen sie für September 2023 von über 17.000 infizierten Websites.
Admins sollten generell sicherstellen, dass die Plug-ins und Themes von WordPress-Seiten auf dem aktuellen Stand sind. Wie man das CMS aktualisiert, steht in einem Beitrag der Entwickler.
CVE-ID und weiterführenden Link für die Sicherheitslücke in tagDiv Composer im Text der Meldung nachgetragen.
(des)
