In Freemius SDK wurde eine Schwachstelle CVE-2023-33999 entdeckt. Die Schwachstelle kann nach Angaben nicht direkt ausgenutzt werden. Ein Angreifer müsste über eine „bösartige“ URL den Administrator einer WordPress Instanz zum Anklicken des Links verleiten.
Dritten wäre es so möglich, sich selbst zum Administrator einer Webseite hinzuzufügen.
„Fortunately, the vulnerability cannot be directly exploited. An attacker must engineer a malicious URL, send it to a site’s administrator, and make them click the link while logged in. While the execution of the attack requires human action, when executed successfully, a sophisticated hacker may be able to add themselves as a site admin.“
– Freemius
Freemius SDK wird beispielsweise auch bei Plugins des Herstellers IconicWP eingesetzt. Nach unseren Informationen kommen Plugins dieses Herstellers bei einigen unserer Kunden zum Einsatz. Wir empfehlen daher ein Update der Plugins mindestens auf die unten stehende Version (oder höher):
Account Pages: 1.2.1
WooThumbs: 5.2.3
Delivery Slots: 1.22.0
Attribute Swatches: 1.16.2
Product Configurator: 1.19.1
Image Swap: 2.7.2
Wishlists: 1.4.5
Show Single Variations: 1.13.1
Bundled Products: 2.3.5
Show Single Variations: 1.13.1
Sales Booster: 1.14.2
Flux Checkout: 2.5.0
Custom Fields for Variations: 1.5.0
Quickview: 3.6.0
Wir empfehlen immer: halten Sie Ihre Webseite auf dem aktuellen Stand. Installieren Sie offene Updates immer zeitnah.
Ihnen ist das zu lästig? Kontaktieren Sie uns gerne, wir bieten Ihnen ein Rundum-Sorglos-Paket für Ihre WordPress Instanz an.