XSS-Sicherheitslücke macht mehrere WordPress-Plugins unsicher

20. April 2015 Kategorie: Backup & Security, Internet, geschrieben von: Pascal Wuttke

Wie der sucuri-Blog meldet, sind offenbar mehrere WordPress-Plugins für Cross-Site-Scripting (XSS) anfällig geworden. Grund hierfür ist ein Missbrauch der Funktionen add_query_arg() sowie remove_query_arg(), die für das Hinzufügen und Ändern von query-strings in URLs innerhalb von WordPress von Entwicklern genutzt wird. Da die offizielle WordPress-Dokumentation für diese Funktionen leider etwas missverständlich geschrieben wurde, haben einige Entwickler die Funktionen fehlinterpretiert und Ihre Plugins somit unsicher gemacht.

WordPress

Zuerst ist Joost, der Entwickler eines der bekannteren SEO-Plugins „WordPress SEO by Yoast“, auf diesen Umstand in einigen seiner Plugins aufmerksam geworden. Sucuri setzte sich mit ihm in Verbindung, um den Vorfall genauer zu untersuchen. Wie sich herausstellte, sind die Plugins von Joost nicht die einzigen, die von der nun auftretenden Sicherheitslücke betroffen sind. Eine Liste der aktuell bekanntesten Plugins sieht in etwa so aus:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Multiple iThemes products including Builder and Exchange
  • Broken-Link-Checker
  • Ninja Forms

Höchstwahrscheinlich ist die Liste noch um einiges länger, denn Sucuri hat „lediglich“ die Top 300-400 Plugins für WordPress untersucht und es gibt eine ganze Menge mehr Plugins. Daher wird allen WordPress-Admins dringend empfohlen, sich in das Admin-Backend einzuloggen und veraltete Plugins zu aktualisieren und weitere Plugin-Updates im Auge zu behalten. Sucuri hat bereits so viele Entwickler wie nur möglich angeschrieben, um sie auf die Sicherheitslücke aufmerksam zu machen.

Für die WordPress Plugin-Entwickler unter Euch rät Sucuri folgendes:

„if you’re a developer, check your code to see how you are use these two functions:

add_query_arg
remove_query_arg

Make sure you are escaping them before use. We recommend using the esc_url() (or esc_url_raw()) functions with them. You should not assume that add_query_arg and remove_query_arg will escape user input. The WordPress team is providing more guidelines on how to use them here.“


Werbung: Du bist Android-Entwickler und möchtest am neuen Outbank mitarbeiten? Dann informiere dich hier.

Über den Autor: Pascal Wuttke

Nerdlicht in einer dieser hippen Startup-Städte vor Anker. Macht was mit Medien... Auch bei den üblichen Kandidaten des sozialen Interwebs auffindbar: Google+, Twitter, Xing, LinkedIn und Instagram. PayPal-Kaffeespende an den Autor.

Pascal hat bereits 929 Artikel geschrieben.