SEO-Plug-in Yoast: Schwachstelle gefährdet WordPress-Websites

Eine Sicherheitslücke im SEO-Plug in Yoast gefährdet zahlreiche WordPress-Websites. Der Anbieter des weitverbreiteten Plug-ins für das Content Management System hat bereits einen Patch veröffentlicht. Die Schwachstelle lässt sich ausnutzen, um auf die Datenbank einer Website zugreifen und Inhalte manipulieren oder gar Malware, Adware oder Spam-Links einschleusen zu können.

Wie der Anbieter mitteilt, handle es sich um Cross-Site-Request-Forgery-Lücke (CSRF), die SQL-Angriffe ermöglicht. Dafür müssten Angreifer aber einige Vorarbeit leisten. Zunächst müsste ein autorisierter WordPress-Nutzer auf einen speziell gestalteten Link klicken, damit ein Angreifer den Fehler ausnutzen könne.

Ryan Dewhurst hat die Sicherheitslücke am 10. März entdeckt und noch am selben Tag vertraulich an Yoast gemeldet. “Ein mögliches Angriffsszenario wäre, dass ein Angreifer einen eigenen Administrator zu einer WordPress-Seite hinzufügt, was es ihm ermöglichen würde, die gesamte Website zu kompromittieren”, schreibt der Forscher in einem Advisory.

Version 1.7.4 von Yoast behebt die Schwachstelle in dem Plug-in. Wie Computerworld berichtet, betrifft sie auch die kommerzielle Variante des SEO-Plug-ins. Für sie steht die fehlerbereinigte Version 1.5.3 zur Verfügung.

Das Yoast-Plug-in haben der offiziellen WordPress-Statistik mittlerweile über 16 Millionen Nutzer heruntergeladen. Die Zahl der aktiven und damit von der Lücke betroffenen Installationen betrage mehr als eine Million.

Ende Februar hatte Marc-Alexandre Montpas von der Sicherheitsfirma Sucuri auf eine “sehr gefährliche” Schwachstelle im Analytics-Plug-in Slimstat hingewiesen, die ebenfalls über eine Million WordPress-Sites betraf. Sie erlaubte es Angreifern, eine SQL-Injection durchzuführen. Version 3.9.6 der WordPress-Erweiterung hat die Lücke geschlossen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago