Kritische Sicherheitslücke im WordPress-Theme Porto entdeckt

Anfang Mai 2024 wurde eine kritische Sicherheitslücke in allen Versionen des WordPress-Themes Porto for WooCommerce bis einschließlich Version 7.1.0 entdeckt. Die Schwachstelle CVE-2024-3806, ermöglicht es nicht authentifizierten Angreifern durch die Funktion ‘porto_ajax_posts’, beliebige Dateien auf dem Server einzuschließen und auszuführen. Dies könnte zur Ausführung von PHP-Code führen, was einen Zugriffskontrollenumgehung, das Erlangen sensibler Daten oder das Ausführen von Code ermöglicht, falls PHP-Dateien hochgeladen und eingebunden werden können.

Die Schwere dieser Sicherheitslücke wird mit einem CVSS-Score von 9.8 (kritisch) bewertet. Nutzer des Themes werden dringend dazu aufgefordert, auf die gepatchte Version 7.1.1 oder eine neuere Version zu aktualisieren, um sich vor möglichen Angriffen zu schützen. Die Entdeckung der Lücke geht auf den Forscher István Márton von Wordfence zurück.

Related Posts

Citrix Hypervisor Update wegen Putty Schwachstelle

Citrix Hypervisor XenServer hat ein Security Advisory veröffentlicht, das sich auf die Schwachstelle CVE-2024-31497 in der Drittanbieter-Komponente Putty bezieht. Betroffen sind Versionen des XenCenter für Citrix Hypervisor 8.2 CU1 LTSR, die das SSH-Tool PuTTY verwenden, um SSH-Verbindungen von XenCenter zu Gast-VMs zu ermöglichen, wenn die Schaltfläche „Open SSH Console“ ausgewählt wird.

Read More

VMware Avi Load Balancer: Schwachstelle legt Informationen offen

VMware hat kürzlich ein Advisory für den VMware Avi Load Balancer herausgegeben, um mehrere Sicherheitsanfälligkeiten zu beheben, die unter den Kennungen CVE-2024-22264 und CVE-2024-22266 geführt werden. Diese Schwachstellen wurden erstmals am 7. Mai 2024 identifiziert und am selben Tag in einem initialen Sicherheitshinweis veröffentlicht.

Read More

Sicherheitslücken in F5s Next Central Manager entdeckt

Sicherheitsforscher von Eclypsium haben schwerwiegende Sicherheitslücken in F5s Next Central Manager aufgedeckt, die Angreifern ermöglichen könnten, vollständige administrative Kontrolle über die Geräte zu erlangen. Diese Schwachstellen erlauben es den Angreifern ebenfalls, Konten auf allen von Next Central Manager verwalteten F5-Geräten zu erstellen, die vom Manager selbst nicht sichtbar sind. Dies könnte eine dauerhafte, verborgene Präsenz innerhalb des Netzwerks ermöglichen.

Read More