- Es wurde ein SQL-Injection-Fehler in den QSM-Plugin-Versionen 10.3.1 und niedriger gefunden
- Durch die Sicherheitslücke können angemeldete Benutzer (Abonnent oder höher) vertrauliche Datenbankdaten extrahieren
- WordPress-Administratoren werden aufgefordert, QSM auf Version 10.3.2 oder neuer zu aktualisieren, um das Risiko zu mindern
Wenn auf Ihrer Website der Quiz- und Umfrage-Master ausgeführt wird WordPress-Pluginmöchten Sie es vielleicht auf die neueste Version aktualisieren oder einen möglichen Cyberangriff riskieren.
Mit QSM können Benutzer Quizze, Umfragen und Formulare ohne Programmierung erstellen und werden von mehr als 40.000 Websites aktiv genutzt. Kürzlich wurde jedoch festgestellt, dass die Versionen 10.3.1 und älter anfällig für einen SQL-Injection-Fehler waren, der es jedem angemeldeten Benutzer ermöglichte, Befehle in die Datenbank einzuschleusen.
Einem Sicherheitshinweis von Patchstack zufolge bedeutet dies, dass jeder Benutzer mit einem „Abonnenten“-Konto oder einem mit höheren Berechtigungen eine Vielzahl unerwünschter Aktionen auf anfälligen Websites ausführen könnte, einschließlich Datenexfiltration.
Wie viele Websites sind anfällig?
Benutzern wird empfohlen, so schnell wie möglich auf diese oder eine neuere Version zu aktualisieren. Laut Daten auf der offiziellen WordPress.org-Website ist die neueste Version 10.3.5.
Leider lässt sich nicht genau sagen, wie viele Websites gepatcht wurden und wie viele weiterhin anfällig sind. Offizielle Zahlen zeigen, dass eine knappe Mehrheit – 52,1 % – Version 10.3 verwendet, was bedeutet, dass mindestens 47,9 % – was 19.160 Websites entspricht – definitiv anfällig sind. Von den verbleibenden 39.980 verwenden zumindest einige die anfällige Version 10.3.1.
Derzeit gibt es keine Hinweise darauf, dass die Schwachstelle missbraucht wird, aber angesichts ihrer Beliebtheit kann man mit Sicherheit davon ausgehen, dass Bedrohungsakteure nun damit beginnen werden, mithilfe von QSM nach Websites zu suchen. Der Fehler wird jetzt als CVE-2025-67987 verfolgt und wurde in Version 10.3.2 behoben.
Als allgemeine Faustregel gilt, dass WordPress-Benutzer ihre stets behalten sollten Website-Builder aktualisierte Plattformen sowie alle von ihnen verwendeten Plugins und Themes. Sicherheitsexperten raten außerdem dazu, alle Plugins und Themes, die nicht aktiv genutzt werden, vollständig von den Servern zu löschen.
Über Infosecurity-Magazin
Das beste Antivirenprogramm für jedes Budget
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten. Klicken Sie unbedingt auf die Schaltfläche „Folgen“!
Und natürlich können Sie das auch Folgen Sie TechRadar auf TikTok für Neuigkeiten, Rezensionen, Unboxings in Videoform und erhalten Sie regelmäßige Updates von uns WhatsApp zu.
