Sicherheit: Viele WordPress Plugins von XSS Lücke betroffen

security

Zuerst die Yoast Lücke – dann folgte Jetpack..

Nun sieht es so aus, dass diese Plugins verwundbar sind, weil sie die Funktionen add_query_arg() und remove_query_arg() fehlerhaft nutzen. Diese Funktionen sind bei Entwicklern von WordPress sehr beliebt.

Offensichtlich ist es so, dass der WordPress Codex diese Funktionen nicht klar beschreibt und daher viele Entwickler diese auch falsch einsetzen. Konkret werden User Eingaben nicht automatisch geschützt. Dadurch werden die Plugins dann für XSS Angriffe nutzbar.

Die Liste der  300-400 meist genutzten Plugins wurde von Sucuri überprüft, dabei wurden etliche entdeckt, welche angreifbar sind:

(Quelle: Sucuri)

Man sollte jetzt dringend sein Dashboard aufrufen und verfügbare Updates für verwendete Plugins einspielen, denn diese Liste wird sicherlich noch länger werden!

Man kann es nicht oft genug erwähnen – Updates sind wichtig – Backups sind wichtig!

Happy patching!

Update 21.04.15:

Hier sind die Links zu den einzelnen betroffenen Plugins aus der WPScan Vulnerability Database

Ich vermute mal, dass diese Liste noch länger wird!

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Kommentar verfassen