Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

All In One WP Security & Firewall <= 3.8.2 WordPress Betroffene Plattformen: WordPress Durch Ausnutzen dieser Schwachstelle kann ein entfernter, authentifizierter Benutzer, bzw. bei zusätzlicher Durchführung eines Cross-Site-Request-Forgery (CSRF)-Angriffs gegen einen Benutzer, auch ein entfernter, nicht authentifizierter Angreifer, beliebigen Programmcode zur Ausführung bringen. Für diese Schwachstelle wurde bereits ein Exploit veröffentlicht, d.h. sie wird aktiv ausgenutzt. Patch: WordPress All In One WP Security & Firewall Changelog https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/changelog

CVE-2014-6242: Schwachstelle im All-In-One-WP-Security- & Firewall-Plugin
für WordPress

Mehrere SQL-Injektion-Schwachstellen wurden in dem “All In One WP Security &
Firewall”-Plugin bevor 3.8.3 für WordPress festgestellt. Ein entfernter,
authentifizierter Benutzer, als Angreifer, kann diese Schwachstellen
ausnutzen, über (1) “orderby” oder (2) “order parameter”, um beliebige
SQL-Befehle auszuführen. Unter Verwendung von Cross-Site-Request-Forgery
kann die Schwachstelle auch von einem entfernten, nicht authentifizierten
Angreifer ausgenutzt werden, um beliebige SQL-Befehle auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1299/

Schwachstelle CVE-2014-6242 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6242

WordPress All In One WP Security & Firewall Changelog:
https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/changelog

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.