KLEO-Theme-Plugin: Kritische Privilegieneskalations-Lücke behoben

Eine kritische Privilegieneskalation im K Elements Plugin – einem Bestandteil des beliebten KLEO WordPress-Themes – wurde behoben. Die Sicherheitslücke (CVE-2024-56000) beruht auf fehlerhafter Logik im Facebook Social-Login-Prozess.

Angreifer können dadurch mittels einfacher Angabe einer fremden E-Mail-Adresse den Authentifizierungsmechanismus umgehen und sich unberechtigt Zugriff verschaffen. Die Schwachstelle lag in der Funktion kleo_fb_intialize(), bei der keine ausreichende Überprüfung der von Facebook gelieferten Daten stattfand. Als Gegenmaßnahme wurde der Login-Prozess durch die Nutzung der Funktion kleo_verify_facebook_token_and_get_data abgesichert, um die Authentizität der übermittelten Daten sicherzustellen.

Nutzer des KLEO Themes werden dringend gebeten, das K Elements Plugin auf Version 5.4.0 bzw. das KLEO Theme auf Version 5.4.4 zu aktualisieren.

Related Posts

Cyberangriff auf Deutsche Bischofskonferenz – IT-Systeme lahmgelegt

Ein Hackerangriff am 10.02.2025 hat das Sekretariat der Deutschen Bischofskonferenz in Bonn schwer getroffen. Die katholische Bischofskonferenz ist derzeit nur eingeschränkt erreichbar, wie in einer Pressenachricht berichtet wird.

Read More

CVE-2022-31631: PDO::quote() in PDO_SQLite führt zu SQL Injection

Eine kritische Sicherheitslücke (CVE-2022-31631) in PHPs PDO_SQLite-Komponente wurde veröffentlicht. In betroffenen PHP-Versionen (8.0.x vor 8.0.27, 8.1.x vor 8.1.15 und 8.2.x vor 8.2.2) kann die Funktion PDO::quote() bei der Verarbeitung von benutzerdefinierten, überlangen Strings einen unzureichend zitierten String zurückliefern – konkret lediglich ein einzelnes Apostroph.

Read More

CVE-2025-1094: Kritische SQL-Injection-Schwachstelle in PostgreSQL psql behoben

Rapid7 entdeckte eine SQL-Injection-Schwachstelle in dem PostgreSQL-Tool psql. Die Sicherheitslücke, CVE-2025-1094, macht es möglich, trotz Verwendung der integrierten String-Escaping-Routinen durch die Verarbeitung ungültiger UTF-8-Zeichen SQL-Injection-Angriffe durchzuführen. Angreifer können so über Meta-Commands im psql-Tool beliebige Betriebssystembefehle ausführen oder SQL-Anweisungen manipulieren, was letztlich zu einer Arbitrary Code Execution führen konnte.

Read More