Yoast-Sicherheitslücke in vielen WordPress-Plugins

Viele Anbieter von WordPress-Plugins haben jetzt mit Updates auf die bekannte Sicherheitslücke reagiert, die erst nur im SEO-Plugin von Yoast erkannt wurde.

Es hat sich aber inzwischen herausgestellt, dass auch noch andere Plugins des insbesondere bei Bloggern beliebten Content Management Systems (CMS) davon betroffen sind.

Die Cross-Site-Scripting (XSS)-Sicherheitslücke lebt vom falschen Einsatz der Funktionen add_query_arg() und remove_query_arg().

Auch die missverständliche Beschreibung in der offiziellen WordPress-Dokumentation hat dazu beigetragen, die Entwickler zu unkorrekten Annahmen zur Funktion zu verleiten.

Als anfällig für XSS über die Lücke  erwiesen sich unter anderem die Plug-ins JetpackAll in One SEOWP-EcommerceWP Touch und Gravity Forms.

Die in den einzelnen Plugins unterschiedliche Nutzung der gefährlichen Funktionen lässt auch die daraus resultierende potenzielle Gefährdung verschieden hoch ausfallen – das muss nicht immer sehr gefährlich sein.

Zuerst wurde das Problem in der letzten Woche bei Yoasts SEO-Plugin entdeckt. Hersteller Yoast musste auch schon im März auf eine Cross-Site-Request-Forgery-Lücke (CSRF) in seinem Plugin reagieren, über die SQL-Angriffe möglich wurden.

2015-04-30T08:14:07+00:00

Leave A Comment

*