Am 4. Juni 2024 wurde eine schwerwiegende Sicherheitslücke in dem Plugin „Email Subscribers by Icegram Express“ für WordPress öffentlich bekannt gemacht. Diese Schwachstelle ermöglicht eine nicht authentifizierte SQL-Injection über den ‚hash‘-Parameter in allen Versionen bis einschließlich 5.7.20. Das Plugin „Email Subscribers by Icegram Express“ wird für E-Mail-Marketing, Newsletter und Automatisierung auf WordPress- und WooCommerce-Websites verwendet
Die Schwachstelle entsteht durch unzureichendes Escaping des benutzerdefinierten Parameters und mangelnde Vorbereitung der bestehenden SQL-Abfrage. Dadurch können Angreifer zusätzliche SQL-Abfragen in bestehende Abfragen einfügen und sensible Informationen aus der Datenbank extrahieren. Die Schwachstelle wurde mit einem CVSS-Score von 9.8 als kritisch eingestuft (CVE-2024-4295).
Nutzer des Plugins sollten umgehend auf die Version 5.7.21 oder höher aktualisieren, um diese Sicherheitslücke zu schließen
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: