Eine Sicherheitslücke im SEO-Plug in Yoast gefährdet zahlreiche WordPress-Websites. Der Anbieter des weitverbreiteten Plug-ins für das Content Management System hat bereits einen Patch veröffentlicht. Die Schwachstelle lässt sich ausnutzen, um auf die Datenbank einer Website zugreifen und Inhalte manipulieren oder gar Malware, Adware oder Spam-Links einschleusen zu können.
Wie der Anbieter mitteilt, handle es sich um Cross-Site-Request-Forgery-Lücke (CSRF), die SQL-Angriffe ermöglicht. Dafür müssten Angreifer aber einige Vorarbeit leisten. Zunächst müsste ein autorisierter WordPress-Nutzer auf einen speziell gestalteten Link klicken, damit ein Angreifer den Fehler ausnutzen könne.
Ryan Dewhurst hat die Sicherheitslücke am 10. März entdeckt und noch am selben Tag vertraulich an Yoast gemeldet. “Ein mögliches Angriffsszenario wäre, dass ein Angreifer einen eigenen Administrator zu einer WordPress-Seite hinzufügt, was es ihm ermöglichen würde, die gesamte Website zu kompromittieren”, schreibt der Forscher in einem Advisory.
Version 1.7.4 von Yoast behebt die Schwachstelle in dem Plug-in. Wie Computerworld berichtet, betrifft sie auch die kommerzielle Variante des SEO-Plug-ins. Für sie steht die fehlerbereinigte Version 1.5.3 zur Verfügung.
Das Yoast-Plug-in haben der offiziellen WordPress-Statistik mittlerweile über 16 Millionen Nutzer heruntergeladen. Die Zahl der aktiven und damit von der Lücke betroffenen Installationen betrage mehr als eine Million.
Ende Februar hatte Marc-Alexandre Montpas von der Sicherheitsfirma Sucuri auf eine “sehr gefährliche” Schwachstelle im Analytics-Plug-in Slimstat hingewiesen, die ebenfalls über eine Million WordPress-Sites betraf. Sie erlaubte es Angreifern, eine SQL-Injection durchzuführen. Version 3.9.6 der WordPress-Erweiterung hat die Lücke geschlossen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
Mit KI können Unternehmen der Paketbranche Prozesse optimieren, Kosten einsparen und sich zukunftssicher aufstellen.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.