Beiträge

Sicherheit: Yet Another Related Posts Plugin (YARPP) 4.2.4 mit Lücke

security

Hier eine Warnung für das YARPP Plugin Version 4.2.4 – dieses Plugin kann ohne gültigen Token upgedatet werden.

Diesen Umstand kann ein Angreifer nutzen, um einen Webseiten Administrator zu verleiten über den Aufruf einer bösartigen Seite, die YARPP Optionen zu ändern. Einige der Optionen erlauben HTML, dadurch kann der Angreifern dann bösartigen Javascript einschleusen. Dieser kann dann durch einen WordPress Benutzer mit Administratoren Berechtigung ausgeführt werden und administrative Arbeiten durchführen.

Ein Proof of Concept findet sich in der WPScan Vulnerability Database, hier wurde auch diese Lücke publiziert.

Bisher gibt es noch kein Update – also sehr vorsichtig sein, wenn ihr als WordPress Admin eingeloggt seid und dann einen Link aufruft.

Update:

Laut EVEX sind auch Versionen kleiner 4.2.4 betroffen!

Update 2:

Derzeit ist Yarpp aus dem WordPress Plugin Directory verschwunden!

yarpp

 

Update 3:

Das Update von YARPP auf 4.2.5 ist verfügbar und das Plugin entsprechend auch wieder im Plugin Verzeichnis verfügbar.

Sicherheit: Viele WordPress Plugins von XSS Lücke betroffen

security

Zuerst die Yoast Lücke – dann folgte Jetpack..

Nun sieht es so aus, dass diese Plugins verwundbar sind, weil sie die Funktionen add_query_arg() und remove_query_arg() fehlerhaft nutzen. Diese Funktionen sind bei Entwicklern von WordPress sehr beliebt.

Offensichtlich ist es so, dass der WordPress Codex diese Funktionen nicht klar beschreibt und daher viele Entwickler diese auch falsch einsetzen. Konkret werden User Eingaben nicht automatisch geschützt. Dadurch werden die Plugins dann für XSS Angriffe nutzbar.

Die Liste der  300-400 meist genutzten Plugins wurde von Sucuri überprüft, dabei wurden etliche entdeckt, welche angreifbar sind:

(Quelle: Sucuri)

Man sollte jetzt dringend sein Dashboard aufrufen und verfügbare Updates für verwendete Plugins einspielen, denn diese Liste wird sicherlich noch länger werden!

Man kann es nicht oft genug erwähnen – Updates sind wichtig – Backups sind wichtig!

Happy patching!

Update 21.04.15:

Hier sind die Links zu den einzelnen betroffenen Plugins aus der WPScan Vulnerability Database

Ich vermute mal, dass diese Liste noch länger wird!