Update für Lücke in All-in-One-SEO-Plugin

von | Jul 15, 2016 | IT Sicherheit |

Eine Sicherheitslücke in einem der beliebtesten und mit mehr als 30 Millionen Downloads  am häufigsten genutzten WordPress Plugins, All in One SEO, macht Websites anfällig für Hacker-Angriffe. Ein gepatchtes Update ist  bereits verfügbar.

Der Sicherheitsforscher David Vaartjes entdeckte die  kritische XSS-Lücke im beliebten All-in-One-SEO-Plugin für WordPress, die es Angreifern ermöglicht, Schadecode auszuführen und u.a. Admin-Sessions zu kapern. Die Schwachstelle findet sich in der Bot-Blocker Funktion des Plugins, die zum automatischen Sperren von Spam-Bots dient. Laut Vaartjes reicht es aus, eine  WordPress-Seite mit aktivem Bot Blocker nur zu besuchen, um eine Website-Attacke zu starten.

Laut Semper Plugins, den Entwickler von All-in-One-SEO, waren lediglich 0,5 Prozent der Plugin-Nutzer von der Lücke betroffen. Der Grund dafür liegt darin, dass die Bot-Blocker Funktion nicht standardmäßig aktiviert ist.

Semper Plugins haben die Schwachstelle bereits in der Version 2.3.7 beseitigt. Mittlerweile steht auch schon die Version 2.3.8 zum Download bereit. In dieser Version wurde eine weitere Sicherheitslücke, diesmal  im Sitemap-Modul, geschlossen.

a

Textquellen & Links

Mehr zur Sicherheitslücke bei All-in-One-SEO finden Sie hier:
sumofpwn.nl
semperplugins.com