Da scheint es bisher kein Update zu geben. Am besten wendest du dich an den Entwickler, in dem du deine Frage im Supportforum des Plugins wiederholst: https://wordpress.org/support/plugin/leadinfo/
Das glaube ich nicht, dass du der einzige bist:
https://patchstack.com/database/vulnerability/leadinfo/wordpress-leadinfo-plugin-1-0-cross-site-request-forgery-csrf-vulnerability
Die Pluginautoren werden vor dieser Veröffentlichung benachrichtigt, damit sie das in Ruhe beheben können.
Thread-Starter
tudorf
(@tudorf)
Danke für die schnelle Antwort.
Dann warte ich mal ab.
Danke Martin
Auf was möchtest du denn bei einer bekannt gewordenen Sicherheitslücke warten? Bis sie von jemand ausgenutzt, deine Website für unlautere Machenschaften missbraucht, die Website bei Suchmaschinen wie Google gesperrt wurde und erste juristische Schritte gegen dich eingeleitet werden? 😉
Thread-Starter
tudorf
(@tudorf)
Was soll ich denn sonst machen?
Homepage löschen?
Wenn du in der Zeitung liest, dass der Dachgepäckträger, den du auf deinem Auto montiert hast, wegen eines technischen Defekts zurückgerufen wird und nicht mehr eingesetzt werden soll, wirst du auch nicht dein Auto verschrotten?
In meiner ersten Antwort hatte ich geschrieben, dass du dich mit dem Entwickler des Plugins in Verbindung setzten und ihm das Problem schildern sollst. Bis es eine Lösung gibt, sollte das Plugin deaktiviert werden. Die Website löschen wäre eine überzogene Kurzschlußreaktion.
Thread-Starter
tudorf
(@tudorf)
Dass ich den Entwickler als erstes angesprochen hatte, habe ich schon im ersten Text geschrieben. Ich hatte zusätzlich noch einen Beitrag beim Entwickler erstellt.
Dass ich den Entwickler als erstes angesprochen hatte, habe ich schon im ersten Text geschrieben.
Da haben wir uns wohl missverstanden.
„Mit Leadinfo habe ich Kontakt aufgenommen. […] Leadinfo meint, es sei ein Problem von WordPress.“ klingt nicht nach „den Plugin-Entwickler als erstes angesprochen“.
Ich musste erstmal schauen was „Leadinfo“ überhaupt ist. Du hast also mit dem Dienstleister gesprochen, nicht mit dem Plugin-Entwickler. Klar, dass der es auf „WordPress“ abschiebt, aber der Plugin-Entwickler ist der eigentlich Verantwortliche – das ist kurioserweise ebenfalls Leadinfo, weshalb das schon reichlich enttäuschend von denen ist.
Weitere Enttäuschung kommt noch dazu nachdem ich mir die „Sicherheitslücke“ mal angeschaut habe. Die Meldung stammt ja vom November 2023, das letzte Update des Plugins ist von „vor einem Monat“ und dennoch hat es noch Version 1.0. Ein Blick in deren Repository zeigte mir eine Änderung vor 6 Wochen (am 07.03.2024) in der sie die Sicherheitslücke offenbar geschlossen haben, siehe: https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&new=3047156%40leadinfo&old=2925822%40leadinfo&sfp_email=&sfph_mail=
Das Problem nun ist, dass sie zwar die Lücke geschlossen, aber keine neue Version released haben. Sie sind bei ihrem Plugin bei Version 1.0 geblieben statt die Versionsnummer zu erhöhen.
Das wiederum führt zu der Meldung die Du gesehen hast. Diese bezieht sich auf die Sicherheitslücke im Plugin in vor oder gleich Version 1.0. Da der Plugin-Entwickler nach dem Fix die Versionsnummer nicht angehoben hat, bleibt die Meldung bestehen da der Test dazu davon ausgeht, dass sie nicht geschlossen ist da die Versionsnummer als kritisch eingestuft wurde.
Somit ist es ein Fehler des Plugin-Entwicklers nach seinem Fix nicht die Versionsnummer anzuheben. Die Lücke ist schon korrigiert.
Ich würde dir empfehlen das Plugin zu deaktivieren, deinstallieren und dann nochmal neu zu installieren. Damit hast Du zwar die korrigierte Version des Plugins installiert und kannst die Meldung deines Sicherheitsplugins dazu als False-Positive ansehen.
Normalerweise müsste so ein Update als Update bereitgestellt werden, was aber nur geht wenn der Plugin-Entwickler die Versionsnummer anhebt. Für mich als ebenfalls Plugin-Entwickler ist das wenig vertrauenserweckend.