Abo
  • Services:
Anzeige
In den Wordpress-Plugins von Yoast wurde eine Cross-Site-Scripting-Lücke behoben.
In den Wordpress-Plugins von Yoast wurde eine Cross-Site-Scripting-Lücke behoben. (Bild: Screenshot / Yoast-Webseite)

Cross-Site-Scripting: Zahlreiche Wordpress-Plugins verwenden Funktion fehlerhaft

In den Wordpress-Plugins von Yoast wurde eine Cross-Site-Scripting-Lücke behoben.
In den Wordpress-Plugins von Yoast wurde eine Cross-Site-Scripting-Lücke behoben. (Bild: Screenshot / Yoast-Webseite)

Eine schlecht dokumentierte Funktion der Wordpress-API ist von zahlreichen populären Plugins fehlerhaft verwendet worden. Der Fehler führt zu Cross-Site-Scripting-Lücken: Betroffen sind unter anderem das Jetpack-Plugin, die Plugins von Yoast und das All-in-one-SEO-Plugin.

Anzeige

In einer ganzen Reihe von beliebten Wordpress-Plugins sind Cross-Site-Scripting-Lücken gefunden worden. Der Hintergrund: Alle diese Plugins nutzen Funktionen der Wordpress-API zur Verarbeitung von Query-URLs, die in der offiziellen Dokumentation missverständlich erklärt waren.

Funktion erstellt Query-Strings ohne Escaping

Johannes Schmitt von der Firma Scrunitzer hatte zunächst im SEO-Plugin der Firma Yoast eine Cross-Site-Scripting-Lücke entdeckt und an dessen Entwickler gemeldet. Bei einer Analyse stellte sich heraus, dass die Ursache dafür eine fehlerhafte Verwendung der Funktionen add_query_arg() und remove_query_arg() war. Beide Funktionen erzeugen einen URL-String mit Parametern, allerdings wird die URL dabei nicht escaped. Wenn zur Erzeugung der Query-Strings Variablen von Nutzern verwendet werden, führt das zu einer Cross-Site-Scripting-Lücke. Die Wordpress-Dokumentation erwähnte das jedoch nicht und enthielt sogar ein Codebeispiel, welches selbst verwundbar war.

Die Entwickler von Yoast stellten fest, dass auch das von ihnen entwickelte Google-Analytics-Plugin denselben Fehler gemacht hatte. Gemeinsam mit der Firma Sucuri wurde daraufhin eine Suche nach weiteren verwundbaren Plugins gestartet. Wie sich herausstellte, ist dieser Fehler weit verbreitet: Ein Blog-Beitrag von Sucuri führt 17 betroffene Plugins auf, darunter die sehr beliebten Plugins Jetpack und All in One SEO.

Alle Wordpress-Nutzer, die die entsprechenden Plugins nutzen, sollten diese umgehend aktualisieren. Für alle von Sucuri und Yoast identifizierten Plugins stehen Updates bereit. Unklar ist allerdings, wie viele weitere Plugins die entsprechenden Funktionen in unsicherer Weise verwenden. In den nächsten Tagen sollten Wordpress-Anwender daher verstärkt prüfen, ob kritische Updates für ihre Plugins bereitstehen.

Entwickler von Wordpress-Plugins sollten ihren Code nach den Funktionen add_query_arg() und remove_query_arg() durchsuchen. Wenn die Ausgabe dieser Funktionen weiterverwendet wird, sollte diese mit der Funktion esc_url() escaped werden.

Cross-Site-Scripting-Lücken weit verbreitet

Cross-Site-Scripting-Lücken, häufig abgekürzt als XSS bezeichnet, gehören zu den häufigsten Sicherheitslücken in Webanwendungen. Darunter versteht man Codestellen, an denen ein Nutzer durch eine entsprechend präparierte Eingabe Javascript-Code ausführen kann. Eine Schutzmaßnahme gegen Cross-Site-Scripting-Lücken ist Content Security Policy. Dieser HTTP-Header kann - korrekt eingesetzt - alle Cross-Site-Scripting-Lücken verhindern. Allerdings ist es extrem aufwendig, bestehende Webapplikationen nachträglich mit Content Security Policy auszustatten. Deswegen nutzen die meisten populären Webanwendungen wie Wordpress diese Technologie nicht. Cross-Site-Scripting-Lücken werden also weiterhin häufig auftreten.


eye home zur Startseite
Davis Brown 12. Mai 2015

WordPress 4.2.2 has been released. This version is augmented is being called both...



Anzeige

Stellenmarkt
  1. Fraunhofer-Institut für Kurzzeitdynamik Ernst-Mach-Institut, EMI, Freiburg
  2. Robert Bosch GmbH, Abstatt
  3. Sky Deutschland GmbH, Unterföhring
  4. Fraunhofer-Institut für Angewandte Informationstechnik FIT, Sankt Augustin


Anzeige
Spiele-Angebote
  1. ab 129,99€
  2. 1,49€
  3. 19,99€

Folgen Sie uns
       


  1. Datenrate

    Vodafone weitet 500 MBit/s im Kabelnetz aus

  2. IT-Outsourcing

    Schweden kaufte Clouddienste ohne Sicherheitsprüfung

  3. Quantengatter

    Die Bauteile des Quantencomputers

  4. Microsoft gibt Entwarnung

    MS Paint bleibt

  5. BGH-Urteil

    Banken dürfen Geld für SMS-TANs verlangen

  6. Deep Space Gateway

    Lockheed baut eine Raumstation aus Spaceshuttle-Frachtmodul

  7. Auftragsfertiger

    Samsung will Marktanteil verdreifachen

  8. Android O

    Google veröffentlicht letzte Testversion vor Release

  9. Fruit Fly 2

    Mysteriöse Mac-Malware seit Jahren aktiv

  10. Poets One im Test

    Kleiner Preamp, großer Sound



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Creoqode 2048 im Test: Wir programmieren die größte portable Spielkonsole der Welt
Creoqode 2048 im Test
Wir programmieren die größte portable Spielkonsole der Welt
  1. Arduino 101 Intel stellt auch das letzte Bastler-Board ein
  2. 1Sheeld für Arduino angetestet Sensor-Platine hat keine Sensoren und liefert doch Daten
  3. Calliope Mini im Test Neuland lernt programmieren

Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  2. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten
  3. Space10 Ikea-Forschungslab untersucht Umgang mit KI

Microsoft Surface Pro im Test: Dieses Tablet kann lange
Microsoft Surface Pro im Test
Dieses Tablet kann lange
  1. Microsoft Neues Surface Pro fährt sich ohne Grund selbst herunter
  2. iFixit-Teardown Surface Laptop ist fast nicht reparabel
  3. Surface Studio Microsofts Grafikerstation kommt nach Deutschland

  1. Re: Ich verstehe dieses Urteil nicht

    My1 | 12:59

  2. Re: "vorinstalliert" VS "im Store erhältlich"

    FibreFoX | 12:58

  3. Re: Emotionale Reaktionen auf MS Paint

    chewbacca0815 | 12:58

  4. Re: Das ist doch nur, um den Store zu pushen

    Evron | 12:57

  5. Re: mMn sollte man da noch ne bedingung hinzufügen

    guert | 12:57


  1. 12:26

  2. 12:12

  3. 12:05

  4. 11:50

  5. 11:30

  6. 11:15

  7. 11:00

  8. 10:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel