Menü
Security

l+f: WordPress-Dokumentation verursacht XSS-Lücken in Plug-ins

Weil der WordPress-Codex bei der Beschreibung von zwei Entwickler-Funktionen unklar war, haben mehrere beliebte Plug-ins jetzt Lücken, über die das CMS angegriffen werden kann.

Von
vorlesen Drucken Kommentare lesen

Sicherheitsforscher haben mehrere Lücken in einer Handvoll beliebter WordPress-Plug-ins ausgemacht. Das Problem scheint daher zu stammen, dass die offizielle Entwickler-Dokumentation von WordPress bei der Beschreibung der zwei Funktionen add_query_arg() und remove_query_arg() unklar war. Entwickler gingen wohl davon aus, dass der Input der Funktion von WordPress bereinigt werde, was nicht der Fall ist. Das führt dazu, dass Angreifer Schindluder mit den Query-Strings in den erzeugten URLs treiben können – eine klassische Cross-Site-Scripting-Lücke (XSS).

Die Sicherheitsfirma Sucuri hat mehrere beliebte Plug-ins entdeckt, welche die Lücke enthalten. Unter anderem sind das: Jetpack, WordPress SEO, Google Analytics by Yoast, All In One SEO, WPTouch, Download Monitor und Ninja Forms. Wahrscheinlich sind aber auch andere Plug-ins angreifbar. WordPress-Admins sollten in den kommenden Tagen und Wochen ein besonders aufmerksames Auge auf ihre Plug-ins haben und entsprechende Aktualisierungen einspielen.

lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security


(fab)