Tech Blog

Wordfence veröffentlicht wöchentlich einen Bericht über neue WordPress-Sicherheitslücken. In der letzten Woche wurden 125 Lücken in 116 Plugins und 4 Themes entdeckt. Besonders kritisch sind dabei Schwachstellen mit hoher Bewertung, die teilweise noch ungepatcht sind. Bedenklich sind auch die vielen Lücken, die Angreifern Zugriff auf sensible Daten oder sogar Schadcode-Ausführung ermöglichen. Nutzer sollten dringend Updates installieren und ihre WordPress-Installationen regelmäßig auf Sicherheit überprüfen.

Kritische Sicherheitslücke im WordPress-Plugin WP Freeio ermöglicht unkomplizierte Administratorrechte für Angreifer. Vendor veröffentlichte zwar Patch, aber Tausende Websites bleiben ungeschützt. Wordfence Firewall blockt über 33.200 Angriffe – Vendor-Versagen offenbart einmal mehr die Grenzen von "Security through Obscurity".

In einem weit verbreiteten WordPress-Plugin wurde eine Sicherheitslücke entdeckt, die es autorisierten Angreifern ermöglicht, beliebige Dateien auf dem Server auszulesen. Betroffen sind über 100.000 Websites. Der Vendor hat die Lücke zwar schnell geschlossen, aber Nutzer müssen dringend auf die neueste Version aktualisieren, um ihre Daten zu schützen.

Zwei WordPress-Plugins mit kritischen Schwachstellen: Hacker kapern Websites über die Sicherheitslücken in GutenKit (CVE-2024-9234) und Hunk Companion (CVE-2024-9707, CVE-2024-11972). Über 8,7 Millionen Angriffe wurden bislang abgewehrt. Betroffene müssen dringend auf die Versionen 2.1.1 bzw. 1.9.0 aktualisieren, um sich vor Kompromittierung zu schützen.

Die TYPO3-Erweiterung "Front End User Registration" (sr_feuser_register) weist kritische Sicherheitslücken auf. Angreifer können durch unzureichende Validierung beliebige serialisierte PHP-Objekte einschleusen, was zu Remote Code Execution führen kann. Außerdem ermöglicht eine Schwachstelle den Download beliebiger Dateien ohne Authentifizierung. Betroffene Nutzer sollten die Erweiterung umgehend auf Version 12.5.0 aktualisieren. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-48200, CVE-2025-48205, CVE-2025-47941).

Die TYPO3-Erweiterung "Backup Plus" (ns_backup) weist mehrere Sicherheitslücken auf, darunter Befehlseinschleusung, vorhersagbare Ressourcenstandorte und Cross-Site-Scripting. Authentifizierte Backend-Nutzer können die Befehlseinschleusung ausnutzen, um Backups zu erstellen. Unbefugte Nutzer können zudem erstellte Backups und Konfigurationsdateien herunterladen. Ein Update auf Version 13.0.1 schließt diese Lücken.