Zuerst die Yoast Lücke – dann folgte Jetpack..
Nun sieht es so aus, dass diese Plugins verwundbar sind, weil sie die Funktionen add_query_arg() und remove_query_arg() fehlerhaft nutzen. Diese Funktionen sind bei Entwicklern von WordPress sehr beliebt.
Offensichtlich ist es so, dass der WordPress Codex diese Funktionen nicht klar beschreibt und daher viele Entwickler diese auch falsch einsetzen. Konkret werden User Eingaben nicht automatisch geschützt. Dadurch werden die Plugins dann für XSS Angriffe nutzbar.
Die Liste der 300-400 meist genutzten Plugins wurde von Sucuri überprüft, dabei wurden etliche entdeckt, welche angreifbar sind:
- Jetpack
- WordPress SEO
- Google Analytics by Yoast
- All In one SEO
- Gravity Forms
- Multiple Plugins from Easy Digital Downloads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- Related Posts for WordPress
- My Calendar
- P3 Profiler
- Give
- Multiple iThemes products including Builder and Exchange
- Broken-Link-Checker
- Ninja Forms
(Quelle: Sucuri)
Man sollte jetzt dringend sein Dashboard aufrufen und verfügbare Updates für verwendete Plugins einspielen, denn diese Liste wird sicherlich noch länger werden!
Man kann es nicht oft genug erwähnen – Updates sind wichtig – Backups sind wichtig!
Happy patching!
Update 21.04.15:
Hier sind die Links zu den einzelnen betroffenen Plugins aus der WPScan Vulnerability Database
- Ninja Forms <= 2.9.10 – Cross-Site Scripting (XSS)
- Broken Link Checker <= 1.10.5 – CSRF/XSS
- Give – Cross-Site Scripting (XSS)
- P3 (Plugin Performance Profiler) <= 1.5.3.8 – Cross-Site Scripting (XSS)
- My Calendar <= 2.3.28 – Cross-Site Scripting (XSS)
- Related Posts for WordPress <= 1.8.1 – Cross-Site Scripting (XSS)
- Download Monitor <= 1.7.0 – Cross-Site Scripting (XSS)
- WPtouch Mobile Plugin <= 3.7.5.3 – Cross-Site Scripting (XSS)
- WP eCommerce <= 3.9.2 – Reflected Cross-Site Scripting (XSS)
- UpdraftPlus Backup and Restoration <= 1.9.6.3 – Cross-Site Scripting (XSS)
- Gravity Forms – Cross-Site Scripting (XSS)
- All in One SEO Pack <= 2.2.6.1 – Cross-Site Scripting (XSS)
- Jetpack by WordPress.com 3.0-3.4.2 – Cross-Site Scripting (XSS)
- Google Analytics by Yoast <= 5.3.3 – Cross-Site Scripting (XSS)
- WordPress SEO by Yoast <= 2.0.1 – Cross-Site Scripting (XSS)
Ich vermute mal, dass diese Liste noch länger wird!