Das WordPress-Plugin All-in-One-SEO ist verwundbar

WPAiOSEOSicherheitsforscher David Vaartjes aus den Niederlanden hat eine kritische Cross-Site-Scripting(XSS)-Lücke in dem beliebten „All in One SEO“-Plugin für das weltweit beliebteste CMS WordPress entdeckt.

Durch diese Schwachstelle können Angreifer Schadcode ausführen und so laufende Admin-Sessions übernehmen. Allerdings sind nicht etwa alle Nutzer des Plug-ins gefährdet.

Laut den WordPress-Statistiken wird das All in One SEO-Plugin aktiv auf mehr als einer Million Internetseiten genutzt. Die Schwachstelle steckt in der Bot-Blocker-Funktion, die allerdings standardmäßig nicht aktiviert ist. Die Funktion dient zum automatischen Sperren von Spam-Bots. Semper Plugins versichert, dass nur jeder Zweihundertste Plug-in-Nutzer betroffen ist.

Der Abruf einer WordPress-Seite mit aktivem Bot Blocker reicht Vaartjes zufolge aus, um damit Webseiten zu attackieren. Der Angreifer müsse dazu nur auf einen manipulierten Referrer Header oder User Agent bei seinem Besuch setzen. Der Webbrowser führe den Schadcode dann wegen der fehlenden Überprüfung einfach aus.

WPAiOSEASS
Die Entwickler des Plugins haben die Schwachstelle in der Version 2.3.7 beseitigt. Inzwischen steht auch schon die Version 2.3.8 zum Download bereit, mit der die Entwickler eine Sicherheitslücke im Sitemap-Modul geschlossen haben.


wallpaper-1019588
3 einfache Wanderungen im Raurisertal
wallpaper-1019588
[Review] Comic ~ Corto Maltese 17 ~ Die Lebenslinie
wallpaper-1019588
Face ID auf Android: Alles, was du über Gesichtserkennung wissen musst!
wallpaper-1019588
Neue Serie: Lernen mit der Nomy School – Wie Kinder auf Reisen lernen, sich ohne Worte zu verständigen