Das bei WordPress beliebte Plugins weißt laut heise eine kritische Sicherheitslücke auf. Bei der Schwachstelle (CVE-2021-25036) die als kritisch gilt, genügt es wenn ein Angreifer einen Subscriber Account anlegt, was bei vermutlich bei 95 % der weltweiten WordPress Seiten der Fall sein wird.
Betroffenen ist die REST-API. Aufgrund einer fehlerhaften Berechtigungsprüfung könnte ein Angreifer durch einen einzigen Großbuchstaben in einer Anfrage die Prüfung vollständig umgehen. Klappt das, ist der Zugriff auf beispielsweise aioseo/v1/hatccess gegeben. Das geht aus einem Post von einem Jetpack Entwickler hervor.
Bei einer zweiten Lücke (CVE-2021-25037 „hoch“) könnten SQL-Injection-Attacken möglich ein und wäre mit ersten Lücke kombinierbar sein, allerdings sollen dafür höhere Benutzerrechte von Nöten sein.
Mit der Version 4.1.5.3 soll das Problem wohl gelöst sein, laut All in One SEO Entwickler.
Quelle heise.de
Ok, gut zu wissen. Ich lerne alles über Online Marketing, SEO und WordPress. Ich werde es in meinem Projekt berücksichtigen: https://summartukap.wordpress.com/
Liebe Grüße.