zurück zum Artikel

l+f: WordPress-Dokumentation verursacht XSS-Lücken in Plug-ins

Weil der WordPress-Codex bei der Beschreibung von zwei Entwickler-Funktionen unklar war, haben mehrere beliebte Plug-ins jetzt Lücken, über die das CMS angegriffen werden kann.

Sicherheitsforscher haben mehrere Lücken in einer Handvoll beliebter WordPress-Plug-ins ausgemacht. Das Problem scheint daher zu stammen, dass die offizielle Entwickler-Dokumentation von WordPress bei der Beschreibung der zwei Funktionen add_query_arg() und remove_query_arg() unklar war. Entwickler gingen wohl davon aus, dass der Input der Funktion von WordPress bereinigt werde, was nicht der Fall ist. Das führt dazu, dass Angreifer Schindluder mit den Query-Strings in den erzeugten URLs treiben können [1] – eine klassische Cross-Site-Scripting-Lücke (XSS).

Die Sicherheitsfirma Sucuri hat mehrere beliebte Plug-ins [2] entdeckt, welche die Lücke enthalten. Unter anderem sind das: Jetpack, WordPress SEO, Google Analytics by Yoast, All In One SEO, WPTouch, Download Monitor und Ninja Forms. Wahrscheinlich sind aber auch andere Plug-ins angreifbar. WordPress-Admins sollten in den kommenden Tagen und Wochen ein besonders aufmerksames Auge auf ihre Plug-ins haben und entsprechende Aktualisierungen einspielen.

lost+found [3]: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security


(fab [4])


URL dieses Artikels:
http://www.heise.de/-2616049

Links in diesem Artikel:
[1] https://yoast.com/coordinated-security-release/
[2] https://blog.sucuri.net/2015/04/security-advisory-xss-vulnerability-affecting-multiple-wordpress-plugins.html
[3] http://www.heise.de/security/suche/?q=lost%2Bfound&search_submit.x=0&search_submit.y=0&rm=search
[4] mailto:fab@heise.de