Eine Reihe von Anbietern hat für ihre verbreiteten WordPress-Plug-ins in einer koordinierten Aktion Sicherheitsupdates bereitgestellt. Sie reagierten damit auf eine Sicherheitslücke, die zuerst im SEO-Plug-in von Yoast entdeckt wurde. Wie sich danach herausstellte, waren davon jedoch noch mehr Plug-ins für das Content Management System WordPress betroffen – und mit weiteren Entdeckungen ist zu rechnen.
Da die Funktionen unterschiedlich genutzt wurden, variiert auch die potenzielle Gefährdung durch die Plug-ins, und sie muss nicht immer sehr hoch sein. Die Anfälligkeit wurde in der letzten Woche zuerst bei Yoasts Plug-in WordPress SEO entdeckt. Schon im März musste Yoast auf eine Cross-Site-Request-Forgery-Lücke (CSRF) in seinem Plug-in reagieren, die SQL-Angriffe erlaubte.
Die Sicherheitsfirma Sucuri, die auch Yoasts Sicherheitspartner ist, forschte nach der neuerlichen Entdeckung nach weiteren anfälligen Plug-ins. Beim Durchforsten des WordPress-Repository wurde sie fündig und informierte zuerst die jeweiligen Anbieter. In einer konzertierten Aktion, an der sich auch das Sicherheitsteam von WordPress beteiligte, bereiteten diese die gleichzeitige Veröffentlichung von Updates am 20. April vor.
In einem Security Advisory führt Sucuri 17 Plug-ins auf, die bisher als anfällig bekannt sind. „Unser Team hat nur die führenden 300 bis 400 Plug-ins analysiert und damit noch lange nicht alle, wie Sie sich vorstellen können“, merkt dazu Daniel Cid an, Gründer und CTO des Unternehmens. „Es gibt also wahrscheinlich eine Anzahl von Plug-ins, die noch immer anfällig sind.“
Entwickler fordert Cid auf, ihren Code auf den Umgang mit den beiden Funktionen zu überprüfen und ihn gegebenenfalls zu aktualisieren. Den WordPress-Anwendern rät er zum umgehenden Update der betroffenen Plug-ins und sagt weitere Nachforschungen zu: „Wir bleiben dran, forschen nach weiteren anfälligen Plug-ins und werden unsere Liste hier aktuell halten.“
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
