Wordpress - The Events Calendar: Unauthentifizierte SQL Injection (CVE-2024-8275) möglich

Am 24. September 2024 wurde eine kritische Sicherheitslücke (CVE-2024-8275) im WordPress-Plugin „The Events Calendar“ veröffentlicht, die bis zur Version 6.6.4 besteht. Die Schwachstelle ermöglicht eine SQL Injection über den Parameter order der Funktion tribe_has_next_event. Aufgrund unzureichender Absicherung der Benutzereingaben können Angreifer ohne Authentifizierung zusätzliche SQL-Befehle ausführen und sensible Daten aus der Datenbank extrahieren. Betroffen sind ausschließlich Websites, die die Funktion tribe_has_next_event() manuell eingebunden haben.

Mit einem CVSS-Score von 9.8 wird die Lücke als kritisch eingestuft. Nutzer von The Events Calendar sollten umgehend ihre Version überprüfen und auf eine neuere, sichere Version aktualisieren, sobald diese verfügbar ist. Weitere Informationen und Sicherheitshinweise sind auf der offiziellen Website des Plugins zu finden.

Related Posts

Sicherheitslücke in pgAdmin: OAuth2-Authentifizierungsfehler (CVE-2024-9014)

Am 23. September 2024 wurde eine kritische Sicherheitslücke (CVE-2024-9014) in pgAdmin, Version 8.11 und älter, veröffentlicht. Die Schwachstelle betrifft die OAuth2-Authentifizierung und ermöglicht es Angreifern, möglicherweise die Client-ID und das Secret zu erlangen, was zu unautorisiertem Zugriff auf Benutzerdaten führen kann. Die Schwachstelle wurde mit einem CVSS-Score von 9.9 als kritisch eingestuft (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).

Read More

Kritische Sicherheitslücken in Pure Storage FlashArray und FlashBlade

Pure Storage hat mehrere kritische Sicherheitslücken in den Purity-Versionen von FlashArray und FlashBlade identifiziert. Die Schwachstellen betreffen insbesondere die FlashArray Purity-Versionen 6.3 bis 6.4, während FlashBlade von den meisten Sicherheitslücken nicht betroffen ist. Die schwerwiegendsten Schwachstellen (CVE-2024-0001 und CVE-2024-0002) ermöglichen es Angreifern, erhöhte Privilegien zu erlangen oder remote auf das Array zuzugreifen. Beide Schwachstellen haben einen CVSS-Score von 10.0, was sie als kritisch einstuft.

Read More

Kritische Buffer Overflow Sicherheitslücke in Cellopoint Secure Email Gateway

Eine kritische Sicherheitslücke wurde in Cellopoints Secure Email Gateway entdeckt, die von Version 4.2.1 bis 4.5.0 betroffen ist. Die Schwachstelle CVE-2024-9043 erlaubt es einem entfernten, nicht authentifizierten Angreifer, speziell präparierte Pakete zu senden, um einen Buffer Overflow im Authentifizierungsprozess auszulösen. Dies kann dazu führen, dass der Prozess abstürzt, die Authentifizierung umgangen wird und der Angreifer Administratorrechte auf dem System erlangt. Mit einem CVSS-Score von 9.8 wird die Lücke als kritisch eingestuft (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

Read More