• Hallo,

    Ich bekomme den Hinweis „Sicherheitslücke schließen“. Schuld ist das Plugin „Leadinfo“.

    WordPress Leadinfo plugin <= 1.0 – Cross Site Request Forgery (CSRF) vulnerability
    Cross Site Request Forgery (CSRF) vulnerability discovered by Nguyen Xuan Chien (Patchstack Alliance) in WordPress Plugin Leadinfo (versions <= 1.0)
    Date: 11.04.2024 | Quelle: 

    Mit Leadinfo habe ich Kontakt aufgenommen. Angeblich bin ich der einzige, der einen Fehler hat. Ich betreibe 2 Seiten. Beide mit demselben Fehler.

    Leadinfo meint, es sei ein Problem von WordPress.

    Kann mir hier jemand helfen?

    Danke Martin

Ansicht von 9 Antworten – 1 bis 9 (von insgesamt 9)
  • Da scheint es bisher kein Update zu geben. Am besten wendest du dich an den Entwickler, in dem du deine Frage im Supportforum des Plugins wiederholst: https://wordpress.org/support/plugin/leadinfo/

    Das glaube ich nicht, dass du der einzige bist:

    https://patchstack.com/database/vulnerability/leadinfo/wordpress-leadinfo-plugin-1-0-cross-site-request-forgery-csrf-vulnerability

    Die Pluginautoren werden vor dieser Veröffentlichung benachrichtigt, damit sie das in Ruhe beheben können.

    Thread-Starter tudorf

    (@tudorf)

    Danke für die schnelle Antwort.

    Dann warte ich mal ab.

    Danke Martin

    Auf was möchtest du denn bei einer bekannt gewordenen Sicherheitslücke warten? Bis sie von jemand ausgenutzt, deine Website für unlautere Machenschaften missbraucht, die Website bei Suchmaschinen wie Google gesperrt wurde und erste juristische Schritte gegen dich eingeleitet werden? 😉

    Thread-Starter tudorf

    (@tudorf)

    Was soll ich denn sonst machen?

    Homepage löschen?

    Wenn du in der Zeitung liest, dass der Dachgepäckträger, den du auf deinem Auto montiert hast, wegen eines technischen Defekts zurückgerufen wird und nicht mehr eingesetzt werden soll, wirst du auch nicht dein Auto verschrotten?

    In meiner ersten Antwort hatte ich geschrieben, dass du dich mit dem Entwickler des Plugins in Verbindung setzten und ihm das Problem schildern sollst. Bis es eine Lösung gibt, sollte das Plugin deaktiviert werden. Die Website löschen wäre eine überzogene Kurzschlußreaktion.

    Thread-Starter tudorf

    (@tudorf)

    Dass ich den Entwickler als erstes angesprochen hatte, habe ich schon im ersten Text geschrieben. Ich hatte zusätzlich noch einen Beitrag beim Entwickler erstellt.

    Dass ich den Entwickler als erstes angesprochen hatte, habe ich schon im ersten Text geschrieben.

    Da haben wir uns wohl missverstanden.

    „Mit Leadinfo habe ich Kontakt aufgenommen. […] Leadinfo meint, es sei ein Problem von WordPress.“ klingt nicht nach „den Plugin-Entwickler als erstes angesprochen“.

    Moderator threadi

    (@threadi)

    Ich musste erstmal schauen was „Leadinfo“ überhaupt ist. Du hast also mit dem Dienstleister gesprochen, nicht mit dem Plugin-Entwickler. Klar, dass der es auf „WordPress“ abschiebt, aber der Plugin-Entwickler ist der eigentlich Verantwortliche – das ist kurioserweise ebenfalls Leadinfo, weshalb das schon reichlich enttäuschend von denen ist.

    Weitere Enttäuschung kommt noch dazu nachdem ich mir die „Sicherheitslücke“ mal angeschaut habe. Die Meldung stammt ja vom November 2023, das letzte Update des Plugins ist von „vor einem Monat“ und dennoch hat es noch Version 1.0. Ein Blick in deren Repository zeigte mir eine Änderung vor 6 Wochen (am 07.03.2024) in der sie die Sicherheitslücke offenbar geschlossen haben, siehe: https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&new=3047156%40leadinfo&old=2925822%40leadinfo&sfp_email=&sfph_mail=

    Das Problem nun ist, dass sie zwar die Lücke geschlossen, aber keine neue Version released haben. Sie sind bei ihrem Plugin bei Version 1.0 geblieben statt die Versionsnummer zu erhöhen.

    Das wiederum führt zu der Meldung die Du gesehen hast. Diese bezieht sich auf die Sicherheitslücke im Plugin in vor oder gleich Version 1.0. Da der Plugin-Entwickler nach dem Fix die Versionsnummer nicht angehoben hat, bleibt die Meldung bestehen da der Test dazu davon ausgeht, dass sie nicht geschlossen ist da die Versionsnummer als kritisch eingestuft wurde.

    Somit ist es ein Fehler des Plugin-Entwicklers nach seinem Fix nicht die Versionsnummer anzuheben. Die Lücke ist schon korrigiert.

    Ich würde dir empfehlen das Plugin zu deaktivieren, deinstallieren und dann nochmal neu zu installieren. Damit hast Du zwar die korrigierte Version des Plugins installiert und kannst die Meldung deines Sicherheitsplugins dazu als False-Positive ansehen.

    Normalerweise müsste so ein Update als Update bereitgestellt werden, was aber nur geht wenn der Plugin-Entwickler die Versionsnummer anhebt. Für mich als ebenfalls Plugin-Entwickler ist das wenig vertrauenserweckend.

Ansicht von 9 Antworten – 1 bis 9 (von insgesamt 9)
  • Das Thema „Sicherheitslücke schließen“ ist für neue Antworten geschlossen.