Abo
  • Services:
Anzeige
In den Wordpress-Plugins von Yoast wurde eine Cross-Site-Scripting-Lücke behoben.
In den Wordpress-Plugins von Yoast wurde eine Cross-Site-Scripting-Lücke behoben. (Bild: Screenshot / Yoast-Webseite)

Cross-Site-Scripting: Zahlreiche Wordpress-Plugins verwenden Funktion fehlerhaft

In den Wordpress-Plugins von Yoast wurde eine Cross-Site-Scripting-Lücke behoben.
In den Wordpress-Plugins von Yoast wurde eine Cross-Site-Scripting-Lücke behoben. (Bild: Screenshot / Yoast-Webseite)

Eine schlecht dokumentierte Funktion der Wordpress-API ist von zahlreichen populären Plugins fehlerhaft verwendet worden. Der Fehler führt zu Cross-Site-Scripting-Lücken: Betroffen sind unter anderem das Jetpack-Plugin, die Plugins von Yoast und das All-in-one-SEO-Plugin.

Anzeige

In einer ganzen Reihe von beliebten Wordpress-Plugins sind Cross-Site-Scripting-Lücken gefunden worden. Der Hintergrund: Alle diese Plugins nutzen Funktionen der Wordpress-API zur Verarbeitung von Query-URLs, die in der offiziellen Dokumentation missverständlich erklärt waren.

Funktion erstellt Query-Strings ohne Escaping

Johannes Schmitt von der Firma Scrunitzer hatte zunächst im SEO-Plugin der Firma Yoast eine Cross-Site-Scripting-Lücke entdeckt und an dessen Entwickler gemeldet. Bei einer Analyse stellte sich heraus, dass die Ursache dafür eine fehlerhafte Verwendung der Funktionen add_query_arg() und remove_query_arg() war. Beide Funktionen erzeugen einen URL-String mit Parametern, allerdings wird die URL dabei nicht escaped. Wenn zur Erzeugung der Query-Strings Variablen von Nutzern verwendet werden, führt das zu einer Cross-Site-Scripting-Lücke. Die Wordpress-Dokumentation erwähnte das jedoch nicht und enthielt sogar ein Codebeispiel, welches selbst verwundbar war.

Die Entwickler von Yoast stellten fest, dass auch das von ihnen entwickelte Google-Analytics-Plugin denselben Fehler gemacht hatte. Gemeinsam mit der Firma Sucuri wurde daraufhin eine Suche nach weiteren verwundbaren Plugins gestartet. Wie sich herausstellte, ist dieser Fehler weit verbreitet: Ein Blog-Beitrag von Sucuri führt 17 betroffene Plugins auf, darunter die sehr beliebten Plugins Jetpack und All in One SEO.

Alle Wordpress-Nutzer, die die entsprechenden Plugins nutzen, sollten diese umgehend aktualisieren. Für alle von Sucuri und Yoast identifizierten Plugins stehen Updates bereit. Unklar ist allerdings, wie viele weitere Plugins die entsprechenden Funktionen in unsicherer Weise verwenden. In den nächsten Tagen sollten Wordpress-Anwender daher verstärkt prüfen, ob kritische Updates für ihre Plugins bereitstehen.

Entwickler von Wordpress-Plugins sollten ihren Code nach den Funktionen add_query_arg() und remove_query_arg() durchsuchen. Wenn die Ausgabe dieser Funktionen weiterverwendet wird, sollte diese mit der Funktion esc_url() escaped werden.

Cross-Site-Scripting-Lücken weit verbreitet

Cross-Site-Scripting-Lücken, häufig abgekürzt als XSS bezeichnet, gehören zu den häufigsten Sicherheitslücken in Webanwendungen. Darunter versteht man Codestellen, an denen ein Nutzer durch eine entsprechend präparierte Eingabe Javascript-Code ausführen kann. Eine Schutzmaßnahme gegen Cross-Site-Scripting-Lücken ist Content Security Policy. Dieser HTTP-Header kann - korrekt eingesetzt - alle Cross-Site-Scripting-Lücken verhindern. Allerdings ist es extrem aufwendig, bestehende Webapplikationen nachträglich mit Content Security Policy auszustatten. Deswegen nutzen die meisten populären Webanwendungen wie Wordpress diese Technologie nicht. Cross-Site-Scripting-Lücken werden also weiterhin häufig auftreten.


eye home zur Startseite
Davis Brown 12. Mai 2015

WordPress 4.2.2 has been released. This version is augmented is being called both...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  3. Ratbacher GmbH, München
  4. M-net Telekommunikations GmbH, München


Anzeige
Spiele-Angebote
  1. (-78%) 8,99€
  2. ab 59,99€ (Vorbesteller-Preisgarantie)
  3. 27,99€

Folgen Sie uns
       


  1. Trotz Protesten

    Bundestag erlaubt großflächigen Einsatz von Staatstrojanern

  2. Zahlungsabwickler

    Start-Up Stripe kommt nach Deutschland

  3. Kaspersky

    Microsoft reagiert auf Antivirus-Kartellbeschwerde

  4. EA Sports

    NHL 18 soll Hockey der jungen Spielergeneration bieten

  5. Eviation

    Alice fliegt elektrisch

  6. Staatstrojaner

    Dein trojanischer Freund und Helfer

  7. OVG NRW

    Gericht stoppt Vorratsdatenspeicherung

  8. Amazon Echo

    Erinnerungsfunktion noch nicht für alle Alexa-Geräte

  9. PowerVR

    Imagination Technologies steht zum Verkauf

  10. Internet der Dinge

    Samsungs T200 ist erster Exynos für IoT



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mieten bei Ottonow und Media Markt: Miet mich!
Mieten bei Ottonow und Media Markt
Miet mich!
  1. Whole Foods Market Amazon kauft Bio-Supermarktkette für 13,7 Milliarden Dollar
  2. Kartengebühren Transaktionen in Messages können teuer werden
  3. Übernahmen Extreme Networks will eine Branchengröße werden

Qubits teleportieren: So funktioniert Quantenkommunikation per Satellit
Qubits teleportieren
So funktioniert Quantenkommunikation per Satellit
  1. Quantenprogrammierung "Die physikalische Welt kann kreativer sein als wir selbst"
  2. Quantenoptik Vom Batman-Fan zum Quantenphysiker
  3. Ionencomputer Wissenschaftler müssen dumme Dinge sagen dürfen

Skull & Bones angespielt: Frischer Wind für die Segel
Skull & Bones angespielt
Frischer Wind für die Segel
  1. Forza Motorsport 7 Dynamische Wolken und wackelnde Rückspiegel
  2. Square Enix Die stürmischen Ereignisse vor Life is Strange
  3. Spider-Man Superheld mit Alltagssorgen

  1. infizieren und gut ist!

    User_x | 20:15

  2. Re: 5 min bei 100km/h sind 8,3km

    David64Bit | 20:15

  3. Re: Kreative...

    t3st3rst3st | 20:13

  4. Re: So langsam wird es was werden mit den...

    bombinho | 20:12

  5. Re: Benchmarks auf iOS nicht wirklich aussagekräftig.

    Lumumba | 20:12


  1. 19:16

  2. 18:35

  3. 18:01

  4. 15:51

  5. 15:35

  6. 15:00

  7. 14:28

  8. 13:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel