security

Sicherheit: Yet Another Related Posts Plugin (YARPP) 4.2.4 mit Lücke

Hier eine Warnung für das YARPP Plugin Version 4.2.4 – dieses Plugin kann ohne gültigen Token upgedatet werden.

Diesen Umstand kann ein Angreifer nutzen, um einen Webseiten Administrator zu verleiten über den Aufruf einer bösartigen Seite, die YARPP Optionen zu ändern. Einige der Optionen erlauben HTML, dadurch kann der Angreifern dann bösartigen Javascript einschleusen. Dieser kann dann durch einen WordPress Benutzer mit Administratoren Berechtigung ausgeführt werden und administrative Arbeiten durchführen.

Ein Proof of Concept findet sich in der WPScan Vulnerability Database, hier wurde auch diese Lücke publiziert.

Bisher gibt es noch kein Update – also sehr vorsichtig sein, wenn ihr als WordPress Admin eingeloggt seid und dann einen Link aufruft.

Update:

Laut EVEX sind auch Versionen kleiner 4.2.4 betroffen!

Update 2:

Derzeit ist Yarpp aus dem WordPress Plugin Directory verschwunden!

yarpp

 

Update 3:

Das Update von YARPP auf 4.2.5 ist verfügbar und das Plugin entsprechend auch wieder im Plugin Verzeichnis verfügbar.

Diesen Beitrag teilen

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest
Share on print
Share on email
Share on whatsapp

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Scroll to Top