Sicherheitsforscher David Vaartjes aus den Niederlanden hat eine kritische Cross-Site-Scripting(XSS)-Lücke in dem beliebten „All in One SEO“-Plugin für das weltweit beliebteste CMS WordPress entdeckt.

Durch diese Schwachstelle können Angreifer Schadcode ausführen und so laufende Admin-Sessions übernehmen. Allerdings sind nicht etwa alle Nutzer des Plug-ins gefährdet.

Laut den WordPress-Statistiken wird das All in One SEO-Plugin aktiv auf mehr als einer Million Internetseiten genutzt. Die Schwachstelle steckt in der Bot-Blocker-Funktion, die allerdings standardmäßig nicht aktiviert ist. Die Funktion dient zum automatischen Sperren von Spam-Bots. Semper Plugins versichert, dass nur jeder Zweihundertste Plug-in-Nutzer betroffen ist.

Der Abruf einer WordPress-Seite mit aktivem Bot Blocker reicht Vaartjes zufolge aus, um damit Webseiten zu attackieren. Der Angreifer müsse dazu nur auf einen manipulierten Referrer Header oder User Agent bei seinem Besuch setzen. Der Webbrowser führe den Schadcode dann wegen der fehlenden Überprüfung einfach aus.

Die Entwickler des Plugins haben die Schwachstelle in der Version 2.3.7 beseitigt. Inzwischen steht auch schon die Version 2.3.8 zum Download bereit, mit der die Entwickler eine Sicherheitslücke im Sitemap-Modul geschlossen haben.