l+f: WordPress-Dokumentation verursacht XSS-Lücken in Plug-ins
Weil der WordPress-Codex bei der Beschreibung von zwei Entwickler-Funktionen unklar war, haben mehrere beliebte Plug-ins jetzt Lücken, über die das CMS angegriffen werden kann.
- Fabian A. Scherschel
Sicherheitsforscher haben mehrere Lücken in einer Handvoll beliebter WordPress-Plug-ins ausgemacht. Das Problem scheint daher zu stammen, dass die offizielle Entwickler-Dokumentation von WordPress bei der Beschreibung der zwei Funktionen add_query_arg() und remove_query_arg() unklar war. Entwickler gingen wohl davon aus, dass der Input der Funktion von WordPress bereinigt werde, was nicht der Fall ist. Das führt dazu, dass Angreifer Schindluder mit den Query-Strings in den erzeugten URLs treiben können – eine klassische Cross-Site-Scripting-Lücke (XSS).
Die Sicherheitsfirma Sucuri hat mehrere beliebte Plug-ins entdeckt, welche die Lücke enthalten. Unter anderem sind das: Jetpack, WordPress SEO, Google Analytics by Yoast, All In One SEO, WPTouch, Download Monitor und Ninja Forms. Wahrscheinlich sind aber auch andere Plug-ins angreifbar. WordPress-Admins sollten in den kommenden Tagen und Wochen ein besonders aufmerksames Auge auf ihre Plug-ins haben und entsprechende Aktualisierungen einspielen.
lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security
(fab)