Abo
  • IT-Karriere:

Cross-Site-Scripting: Zahlreiche Wordpress-Plugins verwenden Funktion fehlerhaft

Eine schlecht dokumentierte Funktion der Wordpress-API ist von zahlreichen populären Plugins fehlerhaft verwendet worden. Der Fehler führt zu Cross-Site-Scripting-Lücken: Betroffen sind unter anderem das Jetpack-Plugin, die Plugins von Yoast und das All-in-one-SEO-Plugin.

Artikel veröffentlicht am , Hanno Böck
In den Wordpress-Plugins von Yoast wurde eine Cross-Site-Scripting-Lücke behoben.
In den Wordpress-Plugins von Yoast wurde eine Cross-Site-Scripting-Lücke behoben. (Bild: Screenshot / Yoast-Webseite)

In einer ganzen Reihe von beliebten Wordpress-Plugins sind Cross-Site-Scripting-Lücken gefunden worden. Der Hintergrund: Alle diese Plugins nutzen Funktionen der Wordpress-API zur Verarbeitung von Query-URLs, die in der offiziellen Dokumentation missverständlich erklärt waren.

Funktion erstellt Query-Strings ohne Escaping

Stellenmarkt
  1. Universitätsklinikum Tübingen, Tübingen
  2. IQTIG - Institut für Qualitätssicherung und Transparenz im Gesundheitswesen, Berlin Tiergarten

Johannes Schmitt von der Firma Scrunitzer hatte zunächst im SEO-Plugin der Firma Yoast eine Cross-Site-Scripting-Lücke entdeckt und an dessen Entwickler gemeldet. Bei einer Analyse stellte sich heraus, dass die Ursache dafür eine fehlerhafte Verwendung der Funktionen add_query_arg() und remove_query_arg() war. Beide Funktionen erzeugen einen URL-String mit Parametern, allerdings wird die URL dabei nicht escaped. Wenn zur Erzeugung der Query-Strings Variablen von Nutzern verwendet werden, führt das zu einer Cross-Site-Scripting-Lücke. Die Wordpress-Dokumentation erwähnte das jedoch nicht und enthielt sogar ein Codebeispiel, welches selbst verwundbar war.

Die Entwickler von Yoast stellten fest, dass auch das von ihnen entwickelte Google-Analytics-Plugin denselben Fehler gemacht hatte. Gemeinsam mit der Firma Sucuri wurde daraufhin eine Suche nach weiteren verwundbaren Plugins gestartet. Wie sich herausstellte, ist dieser Fehler weit verbreitet: Ein Blog-Beitrag von Sucuri führt 17 betroffene Plugins auf, darunter die sehr beliebten Plugins Jetpack und All in One SEO.

Alle Wordpress-Nutzer, die die entsprechenden Plugins nutzen, sollten diese umgehend aktualisieren. Für alle von Sucuri und Yoast identifizierten Plugins stehen Updates bereit. Unklar ist allerdings, wie viele weitere Plugins die entsprechenden Funktionen in unsicherer Weise verwenden. In den nächsten Tagen sollten Wordpress-Anwender daher verstärkt prüfen, ob kritische Updates für ihre Plugins bereitstehen.

Entwickler von Wordpress-Plugins sollten ihren Code nach den Funktionen add_query_arg() und remove_query_arg() durchsuchen. Wenn die Ausgabe dieser Funktionen weiterverwendet wird, sollte diese mit der Funktion esc_url() escaped werden.

Cross-Site-Scripting-Lücken weit verbreitet

Cross-Site-Scripting-Lücken, häufig abgekürzt als XSS bezeichnet, gehören zu den häufigsten Sicherheitslücken in Webanwendungen. Darunter versteht man Codestellen, an denen ein Nutzer durch eine entsprechend präparierte Eingabe Javascript-Code ausführen kann. Eine Schutzmaßnahme gegen Cross-Site-Scripting-Lücken ist Content Security Policy. Dieser HTTP-Header kann - korrekt eingesetzt - alle Cross-Site-Scripting-Lücken verhindern. Allerdings ist es extrem aufwendig, bestehende Webapplikationen nachträglich mit Content Security Policy auszustatten. Deswegen nutzen die meisten populären Webanwendungen wie Wordpress diese Technologie nicht. Cross-Site-Scripting-Lücken werden also weiterhin häufig auftreten.



Anzeige
Spiele-Angebote
  1. 4,99€
  2. (-79%) 12,50€
  3. 4,99€
  4. 4,31€

Davis Brown 12. Mai 2015

WordPress 4.2.2 has been released. This version is augmented is being called both...


Folgen Sie uns
       


Linksabbiegen mit autonomen Autos - Bericht

In Braunschweig testet das DLR an zwei Ampeln die Vernetzung von automatisiert fahrenden Autos und der Verkehrsinfrastruktur.

Linksabbiegen mit autonomen Autos - Bericht Video aufrufen
Elektromobilität: Die Rohstoffe reichen, aber ...
Elektromobilität
Die Rohstoffe reichen, aber ...

Brennstoffzellenautos und Elektroautos sollen künftig die Autos mit Verbrennungsantrieb ersetzen und so den Straßenverkehr umweltfreundlicher machen. Dafür sind andere Rohstoffe nötig. Kritiker mahnen, dass es nicht genug davon gebe. Die Verfügbarkeit ist aber nur ein Aspekt.
Eine Analyse von Werner Pluta

  1. Himo C16 Xiaomi bringt E-Mofa mit zwei Sitzplätzen für rund 330 Euro
  2. ADAC-Test Hohe Zusatzkosten bei teuren Wallboxen möglich
  3. Elektroroller E-Scooter sollen in Berlin nicht mehr auf Gehwegen parken

Schienenverkehr: Die Bahn hat wieder eine Vision
Schienenverkehr
Die Bahn hat wieder eine Vision

Alle halbe Stunde von einer Stadt in die andere, keine langen Umsteigezeiten zur Regionalbahn mehr: Das verspricht der Deutschlandtakt der Deutschen Bahn. Zu schön, um wahr zu werden?
Eine Analyse von Caspar Schwietering

  1. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein
  2. One Fiber EWE will Bahn mit bundesweitem Glasfasernetz ausstatten
  3. VVS S-Bahn-Netz der Region Stuttgart bietet vollständig WLAN

Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Mercedes EQV Daimler zeigt elektrische Großraumlimousine
  2. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  3. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf

    •  /