Über eine Million WordPress-Websites durch Lücke in SEO-Plug-in Yoast bedroht

Durch die CSRF-Lücke ist es einem Angreifer unter Umständen möglich, einen eigenen Administrator zu einer WordPress-Site hinzuzufügen, der dann im Anschluss Inhalte manipulieren und Malware einschleusen könnte. Yoast hat inzwischen einen Patch bereitgestellt.

Ein Angreifer könnte die Schwachstelle nutzen, um sich Zugang zur Datenbank einer Website zu verschaffen und Inhalte zu manipulieren oder gar Malware, Adware oder Spam-Links einzuschleusen. Yoast, Anbieter des weitverbreiteten SEO-Plug-ins für das Content Management System WordPress, hat die diskutierte Sicherheitslücke inzwischen geschlossen.

Logo WordPress (Bild: WorldPress)

Logo WordPress (Bild: WorldPress)

Es handelt sich nach Angaben des Unternehmens um eine Cross-Site-Request-Forgery-Lücke (CSRF), die SQL-Angriffe erlaubt. Allerdings sei dafür einige Vorarbeit nötig. Ein autorisierter WordPress-Nutzer müsse zuerst dazu verleitet werden, auf einen speziell gestalteten Link zu klicken, damit ein Hacker den Fehler ausnutzen könne.

Am 10. März wurde die Lücke von Ryan Dewhurst entdeckt, der sie noch am selben Tag vertraulich an Yoast gemeldet hat. „Ein mögliches Angriffsszenario wäre, dass ein Angreifer einen eigenen Administrator zu einer WordPress-Seite hinzufügt, was es ihm ermöglichen würde, die gesamte Website zu kompromittieren“, schreibt der Forscher in einem Advisory.

Das jetzt veröffentlichte Update auf die Yoast-Version 1.7.4 beseitigt die Anfälligkeit. Laut Computerworld ist auch die kommerzielle Variante des SEO-Plug-ins betroffen. Für sie steht die fehlerbereinigte Version 1.5.3 zur Verfügung.

Das Yoast-Plug-in zur Suchmaschinenoptimierung (Search Engine Optimization, SEO) wurde der offiziellen WordPress-Statistik zufolge inzwischen mehr als 16 Millionen Mal heruntergeladen. Die Zahl der aktiven und damit von der Lücke betroffenen Installationen beträgt laut WordPress mehr als eine Million.

Ende Februar hatte Marc-Alexandre Montpas von der Sicherheitsfirma Sucuri auf eine „sehr gefährliche“ Schwachstelle im Analytics-Plug-in Slimstat hingewiesen, die ebenfalls über eine Million WordPress-Sites betraf. Sie erlaubte es Angreifern, eine SQL-Injection durchzuführen. Mit Version 3.9.6 der WordPress-Erweiterung wurde die Lücke geschlossen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Über eine Million WordPress-Websites durch Lücke in SEO-Plug-in Yoast bedroht

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *