Lücke in All-in-One-SEO-Plug-in gefährdet WordPress-Seiten

Der niederländische Sicherheitsforscher David Vaartjes hat eine kritische XSS-Lücke im "All in One SEO"-Plug-in für WordPress entdeckt. Über die Schwachstelle können Angreifer Schad-Code ausführen und so zum Beispiel Admin-Sessions übernehmen. Es sind aber nicht alle Nutzer des Plug-ins gefährdet.

Vaartjes stellt in einer Sicherheits-Warnung ein Proof Of Concept vor. Die Entwickler der WordPress-Erweiterung von Semper Plugins haben die Schwachstelle in der Version 2.3.7 beseitigt. Mittlerweile steht schon die Version 2.3.8 zum Download bereit, in der die Entwickler eine Sicherheitslücke im Sitemap-Modul geschlossen haben. Details zu dieser Schwachstelle sind derzeit nicht bekannt.

"Nur 0,5 Prozent der Nutzer betroffen"

Den WordPress-Statistiken zufolge kommt All in One SEO aktiv auf mehr als einer Millionen Web-Seiten zum Einsatz. Die Schwachstelle klafft in der Bot-Blocker-Funktion, die jedoch nicht standardmäßig aktiviert ist. Diese Funktion dient zum automatischen Sperren von Spam-Bots. Semper Plugins versichert, dass lediglich 0,5 Prozent der Plug-in-Nutzer betroffen waren.

Allein der Besuch einer WordPress-Seite mit aktivem Bot Blocker reiche Vaartjes zufolge aus, um Webseiten zu attackieren. Dafür müsse ein Angreifer lediglich auf einen manipulierten Referrer Header oder User Agent bei seinem Besuch setzen. Ein Webbrowser führe den Schadcode dann aufgrund einer mangelnden Überprüfung aus. (mls)