Viele Anbieter von WordPress-Plugins haben jetzt mit Updates auf die bekannte Sicherheitslücke reagiert, die erst nur im SEO-Plugin von Yoast erkannt wurde.
Es hat sich aber inzwischen herausgestellt, dass auch noch andere Plugins des insbesondere bei Bloggern beliebten Content Management Systems (CMS) davon betroffen sind.
Die Cross-Site-Scripting (XSS)-Sicherheitslücke lebt vom falschen Einsatz der Funktionen add_query_arg() und remove_query_arg().
Auch die missverständliche Beschreibung in der offiziellen WordPress-Dokumentation hat dazu beigetragen, die Entwickler zu unkorrekten Annahmen zur Funktion zu verleiten.
Als anfällig für XSS über die Lücke erwiesen sich unter anderem die Plug-ins Jetpack, All in One SEO, WP-Ecommerce, WP Touch und Gravity Forms.
Die in den einzelnen Plugins unterschiedliche Nutzung der gefährlichen Funktionen lässt auch die daraus resultierende potenzielle Gefährdung verschieden hoch ausfallen – das muss nicht immer sehr gefährlich sein.
Zuerst wurde das Problem in der letzten Woche bei Yoasts SEO-Plugin entdeckt. Hersteller Yoast musste auch schon im März auf eine Cross-Site-Request-Forgery-Lücke (CSRF) in seinem Plugin reagieren, über die SQL-Angriffe möglich wurden.
Hinterlasse einen Kommentar