Das WordPress-Plugin All-in-One-SEO ist verwundbar

WPAiOSEOSicherheitsforscher David Vaartjes aus den Niederlanden hat eine kritische Cross-Site-Scripting(XSS)-Lücke in dem beliebten “All in One SEO”-Plugin für das weltweit beliebteste CMS WordPress entdeckt.

Durch diese Schwachstelle können Angreifer Schadcode ausführen und so laufende Admin-Sessions übernehmen. Allerdings sind nicht etwa alle Nutzer des Plug-ins gefährdet.

Laut den WordPress-Statistiken wird das All in One SEO-Plugin aktiv auf mehr als einer Million Internetseiten genutzt. Die Schwachstelle steckt in der Bot-Blocker-Funktion, die allerdings standardmäßig nicht aktiviert ist. Die Funktion dient zum automatischen Sperren von Spam-Bots. Semper Plugins versichert, dass nur jeder Zweihundertste Plug-in-Nutzer betroffen ist.

Der Abruf einer WordPress-Seite mit aktivem Bot Blocker reicht Vaartjes zufolge aus, um damit Webseiten zu attackieren. Der Angreifer müsse dazu nur auf einen manipulierten Referrer Header oder User Agent bei seinem Besuch setzen. Der Webbrowser führe den Schadcode dann wegen der fehlenden Überprüfung einfach aus.

WPAiOSEASS
Die Entwickler des Plugins haben die Schwachstelle in der Version 2.3.7 beseitigt. Inzwischen steht auch schon die Version 2.3.8 zum Download bereit, mit der die Entwickler eine Sicherheitslücke im Sitemap-Modul geschlossen haben.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, News, Programmierung, Sicherheit, Tipps und Tricks abgelegt und mit , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.