geschätzte Lesezeit 0 Minuten.

0
(0)

Das bei WordPress beliebte Plugins weißt laut heise eine kritische Sicherheitslücke auf. Bei der Schwachstelle (CVE-2021-25036) die als kritisch gilt, genügt es wenn ein Angreifer einen Subscriber Account anlegt, was bei vermutlich bei 95 % der weltweiten WordPress Seiten der Fall sein wird.

Betroffenen ist die REST-API. Aufgrund einer fehlerhaften Berechtigungsprüfung könnte ein Angreifer durch einen einzigen Großbuchstaben in einer Anfrage die Prüfung vollständig umgehen. Klappt das, ist der Zugriff auf beispielsweise aioseo/v1/hatccess gegeben. Das geht aus einem Post von einem Jetpack Entwickler hervor.

Bei einer zweiten Lücke (CVE-2021-25037 „hoch“) könnten SQL-Injection-Attacken möglich ein und wäre mit ersten Lücke kombinierbar sein, allerdings sollen dafür höhere Benutzerrechte von Nöten sein.

Mit der Version 4.1.5.3 soll das Problem wohl gelöst sein, laut All in One SEO Entwickler.

Quelle heise.de

Wie fandest du den Post?

Auf einen Stern klicken zum bewerten

durchschnittlich 0 / 5. bereits abgestimmt haben: 0

Keine Bewertungen bisher, sei der erste

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Von Lars Müller

Blogger und Fachangestellter für Bäderbetriebe. Fliege in meiner Freizeit mit einer Drohne umher. Absolut interessiert in Sachen Linux, Windows, Serverhosting.

Ein Gedanke zu „WordPress-Plugin All In One SEO mit kritischer Sicherheitslücke“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

2 × 1 =

Consent Management Platform von Real Cookie Banner