Kritische Sicherheitslücken in den Plugins „Elementor Pro“ und „Ultimate Addons für Elementor“

Wie heute bekannt gemacht wurde, ist eine kritische Sicherheitslücke im PageBuilder-Plugin „Elementor Pro“ sowie im Plugin „Ultimate Addons for Elementor“ entdeckt worden.

Dies betrifft alle Versionen von „Elementor Pro“ Version 2.9.3 und älter. Die kostenlose Version von Elementor ist davon nicht betroffen. Die Sicherheitslücke im Plugin „Ultimate Addons for Elementor“ steht im Zusammenhang mit der Schwachstelle in „Elementor Pro“ und betrifft die Version 1.24.1 und älter.

Für beide Plugins stehen Updates mit einem Security-Fix in der neuesten Version bereit.

Details:
Die bekannt gewordene Schwachstelle in „Elementor Pro“, deren Schweregrad als kritisch eingestuft wird, erlaubt es registrierten Benutzern, beliebige Dateien hochzuladen, die zur entfernten Codeausführung führen. Dies ist ein Zero-Day-Exploit.

Eine Schwachstelle in Plugin „Ultimate Addons for Elementor“ ermöglicht es, die „Elementor-Pro“-Schwachstelle auszunutzen, auch wenn auf der Website die Benutzerregistrierung nicht aktiviert ist.

Hinweis:
Nachdem wir unsere Kunden bereits frühzeitig per E-Mail über diese Sicherheitslücken informiert haben, möchten wir die Information auch in unserem Blog und über unsere Social-Media-Kanäle teilen.

Weitere Informationen:
Weitere Informationen zu dieser Sicherheitslücken finden Sie unter https://www.wordfence.com/blog/2020/05/combined-attack-on-elementor-pro-and-ultimate-addons-for-elementor-puts-1-million-sites-at-risk/,
https://wpvulndb.com/vulnerabilities/10214 und https://wpvulndb.com/vulnerabilities/10215

Wir empfehlen Ihnen dringend, Ihre Webseite(n) auf Einsatz der Plugins „Elementor-Pro“ und „Ultimate Addons for Elementor“ zu prüfen und diese, sofern noch nicht geschehen, auf die aktuell verfügbare Version zu aktualisieren.

Als Kunde von WP-Projects wurde das Update bereits ausgeführt, wenn Sie unsere automatischen Updates für WordPress Plugins in Ihrem Account aktiviert haben.

Sollten Sie Hilfe bei der Aktualisierung benötigen, steht Ihnen unser Support jederzeit gerne telefonisch unter +49 2204 – 967 44 44, per E-Mail an service@wp-projects oder via Ticket in unserem Verwaltungs- und Informationssystem (VIS) zur Verfügung.