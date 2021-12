Das Plug-in All in One SEO kann WordPress-Webistes gefährden. In der aktuellen Version haben die Entwickler zwei Sicherheitslücken geschlossen.

Die gefährlichste Schwachstelle (CVE-2021-25036 „kritisch“) betrifft die REST API. Einem Beitrag der Entdecker der Lücke von Jetpack zufolge genügt es, wenn Angreifer einen Subscriber-Account mit niedrigen Nutzerrechten für eine Website anlegen. Das kann man bei WordPress-Seiten oft standardmäßig machen.

Aufgrund von einer fehlerhaften Berechtigungsprüfung könnte ein Angreifer durch einen einzigen Großbuchstaben in einer Anfrage die Prüfung vollständig umgehen. Klappt das, ist der Zugriff auf beispielsweise aioseo/v1/hatccess gegeben. So könnte Hintertüren auf Websites landen, warnen die Sicherheitsforscher.

Schwachstellen kombinierbar

Die zweite Lücke (CVE-2021-25037 „hoch“) könnte SQL-Injection-Attacken ermöglichen. Dafür sind sollen aber höhere Nutzerrechte vonnöten sein. Angreifer könnten beide Lücken miteinander kombinieren.

Laut den Informationen der Plug-in-Website weist All in One SEO über drei Millionen aktive Installationen auf. Die Entwickler geben an, die Lücken in der Version 4.1.5.3 geschlossen zu haben.

(des)