WordPress: 800.000 Webseiten durch All in One SEO-Plugin kompromittierbar

[English]Das populäre WordPress Plugin All in One SEO weist gleich zwei Schwachstellen (CVE-2021-25036 und CVE-2021-25037) auf, über die entsprechende Installationen angreifbar sind. Da das Plugin recht populär ist, sollte man sofort schauen, dass man eine aktualisierte Fassung erhält. Sonst wird die WordPress-Instanz früher oder später gehackt.


Anzeige

All in One SEO ist ein WordPress SEO-Plugin, welches 2007 eingeführt wurde. Die Idee hinter dem SEO-Zeugs ist, WordPress "richtig einzurichten", damit die Webseiten besser in Suchmaschinen ranken können. Für jeden guten WordPress-Nutzer gehört daher irgend ein SEO-Plugin dazu.

Im Sinne von "guter WordPress-Nutzer" ist bei mir da eher Hopfen und Malz verloren. Ich meide diese Art Plugins wie der Teufel das Weihwasser. Warum? Gibt zwei Gründe: Wenn eine Webseite beschissenen Content hat, nützt ein SEO-Plugin auch wenig – ist der Content dagegen gut und möglicherweise einzigartig, wird die Seite auch von Suchmaschinen gefunden – sehe ich an meinen Blog-Beiträgen. Zum Zweiten sind mit SEO-Plugins in der Vergangenheit immer mal wieder durch Schwachstellen und Fehlfunktionen aufgefallen. Daher fahre ich in meinem Blog den Ansatz, möglichst sparsam mit WordPress Plugins zu sein.

Nun bin ich bei den Kollegen von Bleeping Computer darauf gestoßen, dass das WordPress-Plugin All in One SEO in älteren Versionen zwei kritische Sicherheitslücken aufweist.  Automattic-Sicherheitsforscher Marc Montpas hat die Schwachstellen entdeckt und dann gemeldet. Bei den Sicherheitslücken handelt es sich um einen kritischen Fehler bei der Authenticated Privilege Escalation (CVE-2021-25036) und eine schwerwiegende Authenticated SQL Injection-Schwachstelle (CVE-2021-25037).

Was diese Schwachstellen so gefährlich macht, ist die Tatsache, dass Bedrohungsakteure zwar authentifiziert sein müssen, um die beiden Schwachstellen erfolgreich auszunutzen. Ein Angreifer benötigt aber nur niedrige Berechtigungen als WordPress Benutzerrolle wie "Subscriber" (Abonnent), um einen Angriff zu versuchen. Es reicht also, wenn sie Besucher einer WordPress-Seite als Leser registrieren und dann anmelden können, um ggf. veröffentlichte Artikel zu kommentieren (so etwas lasse ich aus Sicherheitsgründen in meinen Blogs nicht zu).

Über die Sicherheitslücke CVE-2021-25036 lassen sich die Privilegien zu erhöhen, um eine Remotecode-Ausführung auf anfälligen Websites zu ermöglichen. Damit lassen sich diese wahrscheinlich vollständig übernehmen. Die Entwickler haben vor 14 Tagen die Version 4.1.5.3 des Plugins mit einem Sicherheitsfix freigegeben. Die Schwachstellen sind also inzwischen behoben – WordPress-Betreiber, die auf das Plugin setzen, müssen aber sicherstellen, dass diese Version installiert ist. Es sind wohl um die 800.000 Nutzer, die noch nicht aktualisiert haben.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit Sicherheit, WordPress verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.