1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

WP-News: Patchstack meldet 404 vulner. Stellen:: 1,6 Millionen Websites betroffen

Dieses Thema im Forum "Allgemeines" wurde erstellt von suedtiroler, 4. September 2023.

  1. suedtiroler

    suedtiroler Well-Known Member

    Registriert seit:
    5. März 2021
    Beiträge:
    330
    Zustimmungen:
    48
    Patchstack meldet 404 Sicherheitslücken, die mehr als 1,6 Millionen Websites betreffen, an das Plugins-Team von WordPress.org

    Nach einer Häufung unbekannter und ungepatchter Schwachstellen in auf WordPress.org gehosteten Plugins hat Patchstack dem Plugin-Review-Team von WordPress 404 Plugins gemeldet. „Diese Situation stellt ein erhebliches Risiko für die WordPress-Community dar und wir haben beschlossen, Maßnahmen zu ergreifen“, sagte Patchstack-Forscher Darius Sveikauskas.

    Sarah Gooding hat in einem neuen Artikel auf WPTavern (Link vgl. unten) auf das Thema aufmerksam gemacht:

    „Da diese Entwickler nicht erreichbar waren, haben wir die vollständige Liste dieser 404-Schwachstellen zur Bearbeitung an das Plugin-Überprüfungsteam gesendet.“

    Normalerweise ist die Meldung von Plugins an WordPress.org der letzte Ausweg in schwierigen Fällen, wenn Patchstack keine Möglichkeit findet, die Anbieter zu kontaktieren. In diesem Fall haben viele dieser Plugin-Autoren keine Kontaktinformationen in ihre Erweiterungen aufgenommen oder reagieren nicht auf Kommunikationsversuche.
    Patchstack hat es als „Zombie-Plugin-Pandemie“ bezeichnet, da die überwältigende Anzahl verlassener Plugins mehr als 1,6 Millionen Websites betrifft. Das Plugins-Team von WordPress.org hat auf den Bericht reagiert und mehr als 70 % der Plugins geschlossen. Im Juni fügte das Team sechs neue gesponserte Freiwillige hinzu und eröffnete Bewerbungen für weitere Teammitglieder, hatte jedoch Schwierigkeiten, einen gewaltigen Rückstand an Plugins zu verwalten, die auf eine Überprüfung warten. Der Rückstand steigt immer weiter und liegt nun bei über 1.119 Plugins mit einer Wartezeit von 71 Tagen.

    Das Hinzufügen von Plugin-Schwachstellen, bei denen Hunderte geschlossen werden müssen, erhöht nur die Zeit, die Entwickler auf die Überprüfung neuer Plugins warten müssen. Mit Stand vom 31. August 2023 meldet Patchstack die folgenden Statistiken im Zusammenhang mit diesen Berichten an WordPress.org:

    404 Schwachstellen
    358 Plugins betroffen
    289 Plugins (71,53 %) – Geschlossen
    109 Plugins (26,98 %) – Gepatched

    6 Plugins (1,49 %) – Nicht geschlossen / Nicht gepatcht
    Bis zu 1,6 Millionen aktive Installationen betroffen
    Durchschnittliche Installationen pro Plugin 4984
    Höchste Installationszahl 100.000 (zwei Plugins)
    Höchster CVSS 9.1
    Durchschnittlicher CVSS 5,8

    „Ältestes“ Plugin – 13 Jahre seit dem letzten Update
    Patchstack fordert Entwickler dringend auf, ihre Kontaktdaten zu den Dateien readme.txt und/oder SECURITY.md ihrer Plugins hinzuzufügen. Um das Management von Sicherheitsproblemen zu optimieren, hat das Unternehmen das Projekt Patchstack mVDP (Managed Vulnerability Disclosure Program) ins Leben gerufen, an dem Entwickler kostenlos teilnehmen können. Patchstack validiert die eingehenden Berichte, belohnt die Forscher und leitet sie zur Bearbeitung an den Anbieter weiter. Das Unternehmen plädiert außerdem für eine Dashboard-Benachrichtigung, wenn ein Plugin oder Theme aus Sicherheitsgründen entfernt wird, da WordPress dem Benutzer diese Informationen derzeit nicht mitteilt. Ihre Forscher werden bald weitere Berichte einreichen, die möglicherweise zu geschlossenen Verlängerungen führen.
    „Wir bereiten weitere ähnliche Listen für das WordPress.org-Themen-Repository und Repositories vor, die sich auf Premium-Produkte konzentrieren“, sagte Sveikauskas. „Wir bearbeiten derzeit mehr als 200 weitere ähnliche Schwachstellen

    weitere Infos, Quellen u. v.a.m.
    der Artikel auf WpTavern: https://wptavern.com/patchstack-reports-404-vulnerabilities-affecting-1-6m-websites-to-wordpress-org-plugins-team
     
  2. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.284
    Zustimmungen:
    576
    Verdammt das Plauderbord ist erneut ausgefallen für dich!


    WOTAN: "Fahre denn hin, herrische Pracht, göttlichen Prunkes prahlende Schmach! Zusammen breche, was ich gebaut! Auf geb' ich meinWerk, nur eines will ich noch: das Ende -- -- das Ende! --"

     
  3. Was für ein Scheiß Kommentar. Wozu ist ein WordPress-Forum eigentlich da? Doch sicher auch, um WordPress Anwender und alle, die damit zu tun haben, zu informieren, in diesem Falle zu warnen. Und das genau wird hier getan. Es gibt natürlich auch Menschen, die mit solchem Mist reagieren, die mit ihrer falls vorhanden künstlichen Intelligenz nicht mit solchem "Machwerk" belästigt werden wollen. Dabei muss man nur eines tun: nicht lesen.
     
    threadi gefällt das.
  4. threadi

    threadi Well-Known Member

    Registriert seit:
    9. Oktober 2020
    Beiträge:
    1.913
    Zustimmungen:
    388
    Mir tut das Plugin-Team immer mehr leid. Sie müssen derzeit ausbaden was Plugin-Entwickler verbrechen und werden an vielen Stellen gescholten, weil sie so eine riesige Liste an neuen Plugins nicht abgearbeitet bekommen. Ich habe selbst ein Plugin in dieser Liste und warte auf Freigabe durch sie.

    Was ich jedoch auch mitbekommen habe: das Plugin-Team prüft inzwischen viel genauer als früher neue Plugins. Meine Befürchtung ist, dass viele Plugin-Entwickler sich so gar nicht an die vorgegebenen Standards halten. Die Mehrheit wird von Wordpress Coding Standards nichts gehört haben und auch das Prüfungstool nicht für ihr eigenes Plugin verwenden. Das erhöht eben den Kommunikationsaufwand für das Plugin-Team bei jedem neuen Plugin. Und wenn dann noch solche Listen mit Fehlern von uralt-Plugins dazu kommen bedeutet das irgendwann den Supergau für das Plugin-Team ..
     
    SuMu und Gast 100035 gefällt das.
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden