Yoast, Anbieter eines weitverbreiteten SEO-Plug-ins für das Content Management System WordPress, hat eine Sicherheitslücke geschlossen. Ein Angreifer könnte die Schwachstelle nutzen, um sich Zugang zur Datenbank einer Website zu verschaffen und Inhalte zu manipulieren oder gar Malware, Adware oder Spam-Links einzuschleusen.
Nach Angaben des Unternehmens handelt es sich um eine Cross-Site-Request-Forgery-Lücke (CSRF), die SQL-Angriffe erlaubt. Allerdings sei dafür einige Vorarbeit nötig. Ein autorisierter WordPress-Nutzer müsse zuerst dazu verleitet werden, auf einen speziell gestalteten Link zu klicken, damit ein Hacker den Fehler ausnutzen könne.
Entdeckt wurde die Lücke am 10. März von Ryan Dewhurst, der sie noch am selben Tag vertraulich an Yoast gemeldet hat. „Ein mögliches Angriffsszenario wäre, dass ein Angreifer einen eigenen Administrator zu einer WordPress-Seite hinzufügt, was es ihm ermöglichen würde, die gesamte Website zu kompromittieren“, schreibt der Forscher in einem Advisory.
Das jetzt veröffentlichte Update auf die Yoast-Version 1.7.4 beseitigt die Anfälligkeit. Laut Computerworld ist auch die kommerzielle Variante des SEO-Plug-ins betroffen. Für sie steht die fehlerbereinigte Version 1.5.3 zur Verfügung.
Der offiziellen WordPress-Statistik zufolge wurde das Yoast-Plug-in zur Suchmaschinenoptimierung (Search Engine Optimization, SEO) inzwischen mehr als 16 Millionen Mal heruntergeladen. Die Zahl der aktiven und damit von der Lücke betroffenen Installationen beträgt laut WordPress mehr als eine Million.
Ende Februar hatte Marc-Alexandre Montpas von der Sicherheitsfirma Sucuri auf eine „sehr gefährliche“ Schwachstelle im Analytics-Plug-in Slimstat hingewiesen, die ebenfalls über eine Million WordPress-Sites betraf. Sie erlaubte es Angreifern, eine SQL-Injection durchzuführen. Mit Version 3.9.6 der WordPress-Erweiterung wurde die Lücke geschlossen.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…
Seine Trainingsdaten umfassen 3,8 Milliarden Parameter. Laut Microsoft bietet es eine ähnliche Leistung wie OpenAIs…
Sie erlaubt eine Remotecodeausführung außerhalb der Sandbox. Betroffen sind Chrome für Windows, macOS und Linux.
Probleme treten vor allem bei Nutzern von Outlook Web Access auf. Das optionale Hotfix-Update für…
