WordPress-Plug-in AMP for WP gefährdet Websites

Es gibt eine neue Version von AMP for WP – Accelerated Mobile Pages. Darin haben die Entwickler eine Schwachstelle geschlossen.

In Pocket speichern vorlesen Druckansicht
WordPress-Plug-in AMP for WP gefährdet Websites

(Bild: 27707)

Lesezeit: 1 Min.

Wer seine WordPress-Seite auch mit beschleunigten Mobilseiten (Accelerated Mobile Pages, AMP), über das Plug-in AMP for WP anbietet, sollte die Erweiterung auf den aktuellen Stand bringen. Aufgrund einer Schwachstelle könnten Angreifer unter bestimmten Voraussetzungen eigenen Code auf verwundbaren Websites platzieren.

Das Plug-in weist derzeit mehr als 100.000 aktive Installationen auf. In der aktuellen Version 0.9.97.20 haben die Entwickler die Lücke geschlossen, berichtet ein Sicherheitsforscher von WebARX in einem Beitrag.

Die Schwachstelle lag darin, dass AMP for WP die Rechte von Accounts in Bezug auf die Nutzung von Ajax Hooks nicht prüft. Über Ajax Hooks kann man in WordPress Funktionen direkt aufrufen. Aufgrund der fehlenden Prüfung konnte jeder bei einer Website registrierte Nutzer die Plug-in-Optionen verbiegen und Code auf einer Seite platzieren. Davon sind Websites bedroht, die eine Registrierung von Besuchern anbieten. (des)