Die Sicherheitslücke CVE-2023-7027 betrifft das WordPress-Plugin „POST SMTP Mailer – Email log, Delivery Failure Notifications and Best Mail SMTP„. Diese Schwachstelle ermöglicht es, über das ‚device‘-Header in allen Versionen bis einschließlich 2.8.7 Cross-Site-Scripting-Angriffe (XSS) durchzuführen. Diese Angriffe könnten von unautorisierten Angreifern genutzt werden, um willkürliche Web-Skripte in Seiten einzuschleusen, die dann ausgeführt werden, sobald ein Benutzer eine manipulierte Seite besucht. Die Schwachstelle wurde aufgrund unzureichender Eingabevalidierung und mangelnder Ausgabeabsicherung identifiziert. Benutzer des Plugins sollten sicherstellen, dass sie auf eine Version aktualisieren, die diesen Fehler behebt.
CVE-2023-6875: weitere kritische Schwachstelle
CVE-2023-6875 ist eine schwerwiegende Schwachstelle, die es einem nicht authentifizierten Angreifer ermöglicht, die API-Schlüssel zurückzusetzen und auf E-Mail-Protokolle zuzugreifen, einschließlich Passwort-Reset-E-Mails von WordPress-Seiten, die dieses Plugin verwenden. Dies kann zu einer vollständigen Übernahme der Website führen, wenn der Angreifer beispielsweise das Passwort eines Administratorkontos zurücksetzt und dann Zugang zu diesem Konto erlangt.
Beide Schwachstellen werden durch ein Update auf Version 2.8.8 oder neuer behoben. Hier gehts zum Download:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: