Sicherheitslücke in zahlreichen WordPress-Plug-ins entdeckt

Eine Reihe von Anbietern hat für ihre verbreiteten WordPress-Plug-ins in einer koordinierten Aktion Sicherheitsupdates bereitgestellt. Sie reagierten damit auf eine Sicherheitslücke, die zuerst im SEO-Plug-in von Yoast entdeckt wurde. Wie sich danach herausstellte, waren davon jedoch noch mehr Plug-ins für das Content Management System WordPress betroffen – und mit weiteren Entdeckungen ist zu rechnen.

Die Anfälligkeit für Cross-Site-Scripting (XSS) beruht auf dem falschen Einsatz der Funktionen add_query_arg() and remove_query_arg(). Dazu trug ihre unklare Beschreibung in der offiziellen WordPress-Dokumentation bei, die Entwickler zu einer falschen Annahme verleitete. Als anfällig erwiesen sich unter anderem die Plug-ins Jetpack, All in One SEO, WP-Ecommerce, WP Touch und Gravity Forms.

Da die Funktionen unterschiedlich genutzt wurden, variiert auch die potenzielle Gefährdung durch die Plug-ins, und sie muss nicht immer sehr hoch sein. Die Anfälligkeit wurde in der letzten Woche zuerst bei Yoasts Plug-in WordPress SEO entdeckt. Schon im März musste Yoast auf eine Cross-Site-Request-Forgery-Lücke (CSRF) in seinem Plug-in reagieren, die SQL-Angriffe erlaubte.

Die Sicherheitsfirma Sucuri, die auch Yoasts Sicherheitspartner ist, forschte nach der neuerlichen Entdeckung nach weiteren anfälligen Plug-ins. Beim Durchforsten des WordPress-Repository wurde sie fündig und informierte zuerst die jeweiligen Anbieter. In einer konzertierten Aktion, an der sich auch das Sicherheitsteam von WordPress beteiligte, bereiteten diese die gleichzeitige Veröffentlichung von Updates am 20. April vor.

In einem Security Advisory führt Sucuri 17 Plug-ins auf, die bisher als anfällig bekannt sind. „Unser Team hat nur die führenden 300 bis 400 Plug-ins analysiert und damit noch lange nicht alle, wie Sie sich vorstellen können“, merkt dazu Daniel Cid an, Gründer und CTO des Unternehmens. „Es gibt also wahrscheinlich eine Anzahl von Plug-ins, die noch immer anfällig sind.“

Entwickler fordert Cid auf, ihren Code auf den Umgang mit den beiden Funktionen zu überprüfen und ihn gegebenenfalls zu aktualisieren. Den WordPress-Anwendern rät er zum umgehenden Update der betroffenen Plug-ins und sagt weitere Nachforschungen zu: „Wir bleiben dran, forschen nach weiteren anfälligen Plug-ins und werden unsere Liste hier aktuell halten.“