Eine Reihe von Anbietern hat für ihre verbreiteten WordPress-Plug-ins in einer koordinierten Aktion Sicherheitsupdates bereitgestellt. Sie reagierten damit auf eine Sicherheitslücke, die zuerst im SEO-Plug-in von Yoast entdeckt wurde. Wie sich danach herausstellte, waren davon jedoch noch mehr Plug-ins für das Content Management System WordPress betroffen – und mit weiteren Entdeckungen ist zu rechnen.
Da die Funktionen unterschiedlich genutzt wurden, variiert auch die potenzielle Gefährdung durch die Plug-ins, und sie muss nicht immer sehr hoch sein. Die Anfälligkeit wurde in der letzten Woche zuerst bei Yoasts Plug-in WordPress SEO entdeckt. Schon im März musste Yoast auf eine Cross-Site-Request-Forgery-Lücke (CSRF) in seinem Plug-in reagieren, die SQL-Angriffe erlaubte.
Die Sicherheitsfirma Sucuri, die auch Yoasts Sicherheitspartner ist, forschte nach der neuerlichen Entdeckung nach weiteren anfälligen Plug-ins. Beim Durchforsten des WordPress-Repository wurde sie fündig und informierte zuerst die jeweiligen Anbieter. In einer konzertierten Aktion, an der sich auch das Sicherheitsteam von WordPress beteiligte, bereiteten diese die gleichzeitige Veröffentlichung von Updates am 20. April vor.
In einem Security Advisory führt Sucuri 17 Plug-ins auf, die bisher als anfällig bekannt sind. „Unser Team hat nur die führenden 300 bis 400 Plug-ins analysiert und damit noch lange nicht alle, wie Sie sich vorstellen können“, merkt dazu Daniel Cid an, Gründer und CTO des Unternehmens. „Es gibt also wahrscheinlich eine Anzahl von Plug-ins, die noch immer anfällig sind.“
Entwickler fordert Cid auf, ihren Code auf den Umgang mit den beiden Funktionen zu überprüfen und ihn gegebenenfalls zu aktualisieren. Den WordPress-Anwendern rät er zum umgehenden Update der betroffenen Plug-ins und sagt weitere Nachforschungen zu: „Wir bleiben dran, forschen nach weiteren anfälligen Plug-ins und werden unsere Liste hier aktuell halten.“
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.
