Eine kritische Cross-Site Scripting (XSS)-Sicherheitslücke wurde im beliebten Yoast SEO WordPress-Plugin entdeckt, was über 5 Millionen Websites einem möglichen Angriff aussetzt. Der Sicherheitsforscher Bassem Essam entdeckte den Fehler und meldete ihn über das Bug-Bounty-Programm von Wordfence.
Die reflektierte XSS-Schwachstelle betrifft alle Yoast SEO-Versionen bis einschließlich 22.5 und ist auf eine unzureichende Eingabesäuberung und Ausgabeüberprüfung zurückzuführen. Dies ermöglicht es nicht authentifizierten Angreifern, bösartige Skripte über die URL-Parameter des Plugins in WordPress-Seiten einzuschleusen. Sobald ein Administrator die manipulierte URL besucht, werden die schadhaften Skripte in der Browser-Session des Administrators ausgeführt.
Die Ausnutzung dieser Schwachstelle könnte Angreifern ermöglichen, gefälschte Admin-Konten zu erstellen, Backdoors in Theme- und Plugin-Dateien zu integrieren, Besucher auf schädliche Websites umzuleiten und die vollständige Kontrolle über die anfällige WordPress-Website zu erlangen.
Der Angriff setzt voraus, dass ein Administrator auf einen schädlichen Link klickt. Yoast hat eine gepatchte Version, 22.6, veröffentlicht, um diese Sicherheitslücke zu schließen. Alle Websites, die Yoast SEO nutzen, sollten dringend aktualisiert werden. Laut WordPress.org ist das Plugin auf über 5 Millionen Installationen aktiv.
Die Web-Sicherheitsfirma Wordfence hat Firewall-Regeln hinzugefügt, um ihre Nutzer vor Exploit-Versuchen dieser Sicherheitslücke zu schützen. Bassem Essam wurde für das Melden der Schwachstelle mit einem Bug-Bounty von 563 US-Dollar belohnt.
„Diese Schwachstelle erfordert, dass Benutzer auf einen Link klicken, um erfolgreich zu sein. Das erinnert Seitenadministratoren und Benutzer daran, den besten Sicherheitspraktiken zu folgen und keine Links von unzuverlässigen Quellen anzuklicken“, erklärte Ram Gall, QA Engineer bei Defiant, dem Unternehmen hinter Wordfence.
Yoast SEO ist das beliebteste WordPress-Plugin für Suchmaschinenoptimierung, weshalb diese Schwachstelle besonders schwerwiegend ist. Seitenbesitzer, die das Plugin verwenden, sollten so schnell wie möglich auf Version 22.6 oder höher aktualisieren.
Administratoren wird ebenfalls geraten, ihre Websites auf verdächtige Aktivitäten zu überprüfen. Dieser Vorfall betont die Bedeutung regelmäßiger Updates für WordPress-Plugins und zeigt, wie wichtig Bug-Bounty-Programme sind, um Schwachstellen verantwortungsvoll aufzudecken.
Weitere Details zur Schwachstelle und ein Zeitplan ihrer Entdeckung und Behebung sind auf dem Wordfence-Blog verfügbar.