Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the fast-indexing-api domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /home/u166456357/domains/ictreview.com/public_html/wp-includes/functions.php on line 6114
Fancy Product Designer WordPress-Plugin: Kritische Sicherheitslücken entdeckt und unbeantwortete Anbieterstille - Was Benutzer wissen müssen - ictreview.com Fancy Product Designer WordPress-Plugin: Kritische Sicherheitslücken entdeckt und unbeantwortete Anbieterstille - Was Benutzer wissen müssen - ictreview.com

Fancy Product Designer WordPress-Plugin: Kritische Sicherheitslücken entdeckt und unbeantwortete Anbieterstille – Was Benutzer wissen müssen

Posted by:
Paul Becker
Sicherheits-News
So., 12 Jan.
0 Comment
Feature image

Forscher von Patchstack haben zwei neue Schwachstellen beim Fancy Product Designer entdeckt

Eine beliebte WordPress-Plugin trägt zwei kritische Sicherheitslücken, die es Hackern ermöglichen, Dateien hochzuladen, Datenbanken zu manipulieren und kompromittierte Websites zu übernehmen. Die Schwachstellen blieben über ein halbes Jahr im Code, obwohl die Entwickler informiert waren und in der Zwischenzeit an neuen Versionen arbeiteten.

Cybersicherheitsforscher von Patchstack behaupten, Ende März 2024 zwei Schwachstellen im Fancy Product Designer gefunden zu haben – ein Premium-Website-Builder-Plugin von Radykal, das Benutzern ermöglicht, Produkte wie T-Shirts, Tassen oder Poster mit verschiedenen Designwerkzeugen und Optionen für E-Commerce-Shops zu erstellen und anzupassen. Es hat über 20.000 Verkäufe.

Stille der Anbieter

Die Schwachstellen sind als CVE-2024-51919 (Schweregrad 9.0) und CVE-2024-51818 verfolgt. Ersteres ist eine nicht authentifizierte Schwachstelle für den willkürlichen Datei-Upload, während letzteres ein nicht authentifizierter SQL-Injection-Fehler ist. Da ersteres die Ausführung von Remote-Code (RCE) zulässt, könnte dies in einigen Szenarien zur vollständigen Übernahme der Website führen. Patchstack behauptet, den Anbieter Ende März über die Probleme informiert zu haben, aber nie eine Antwort erhalten zu haben. In der Zwischenzeit arbeitete Radykal an neuen Versionen des Plugins und veröffentlichte 20 davon. Die neueste Version wurde vor zwei Monaten (6.4.3) veröffentlicht und trägt immer noch die kritischen Sicherheitslücken.

Um Benutzer über die Risiken zu informieren und auf das Problem aufmerksam zu machen, hat Patchstack die Fehler in seine Datenbank aufgenommen und einen ausführlichen Blog veröffentlicht, der genügend technische Informationen enthält, um einen Angriff zu starten und Websites, die Fancy Product Designer nutzen, anzugreifen. Um dies zu verhindern, sollten Webadministratoren eine Liste der erlaubten Dateierweiterungen erstellen, um zu verhindern, dass Hacker alles hochladen können, was sie möchten. Patchstack fügte hinzu, dass Benutzer Benutzereingaben für eine Abfrage säubern sollten, um sich gegen SQL-Injection-Angriffe zu verteidigen. Via BleepingComputer.

Tags:

0 0 votes
Article Rating
Abonnieren
Benachrichtige mich bei
guest

0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments