Yoast, Anbieter eines weitverbreiteten SEO-Plug-ins für das Content Management System WordPress, hat eine Sicherheitslücke geschlossen. Ein Angreifer könnte die Schwachstelle nutzen, um sich Zugang zur Datenbank einer Website zu verschaffen und Inhalte zu manipulieren oder gar Malware, Adware oder Spam-Links einzuschleusen.
Nach Angaben des Unternehmens handelt es sich um eine Cross-Site-Request-Forgery-Lücke (CSRF), die SQL-Angriffe erlaubt. Allerdings sei dafür einige Vorarbeit nötig. Ein autorisierter WordPress-Nutzer müsse zuerst dazu verleitet werden, auf einen speziell gestalteten Link zu klicken, damit ein Hacker den Fehler ausnutzen könne.
Entdeckt wurde die Lücke am 10. März von Ryan Dewhurst, der sie noch am selben Tag vertraulich an Yoast gemeldet hat. „Ein mögliches Angriffsszenario wäre, dass ein Angreifer einen eigenen Administrator zu einer WordPress-Seite hinzufügt, was es ihm ermöglichen würde, die gesamte Website zu kompromittieren“, schreibt der Forscher in einem Advisory.
Das jetzt veröffentlichte Update auf die Yoast-Version 1.7.4 beseitigt die Anfälligkeit. Laut Computerworld ist auch die kommerzielle Variante des SEO-Plug-ins betroffen. Für sie steht die fehlerbereinigte Version 1.5.3 zur Verfügung.
Der offiziellen WordPress-Statistik zufolge wurde das Yoast-Plug-in zur Suchmaschinenoptimierung (Search Engine Optimization, SEO) inzwischen mehr als 16 Millionen Mal heruntergeladen. Die Zahl der aktiven und damit von der Lücke betroffenen Installationen beträgt laut WordPress mehr als eine Million.
Ende Februar hatte Marc-Alexandre Montpas von der Sicherheitsfirma Sucuri auf eine „sehr gefährliche“ Schwachstelle im Analytics-Plug-in Slimstat hingewiesen, die ebenfalls über eine Million WordPress-Sites betraf. Sie erlaubte es Angreifern, eine SQL-Injection durchzuführen. Mit Version 3.9.6 der WordPress-Erweiterung wurde die Lücke geschlossen.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…