WordPress-Plugin "All in One SEO" anfällig für Cross Site Scripting Angriffe
Table of Contents
Eine schwerwiegende Sicherheitslücke wurde im weit verbreiteten WordPress-Plugin “All in One SEO” entdeckt, das mehr als 3 Millionen Installationen zählt. Diese Schwachstelle, gekennzeichnet als CVE-2024-3368, ermöglicht Angreifern die Ausführung von schädlichem Code durch gespeicherte Cross-Site Scripting (XSS)-Angriffe. Dies könnte zur Erstellung von Administrator-Accounts durch Beitragsautoren führen, betroffen sind alle All in One SEO Versionen älter als 4.6.1.1.
In Folge der Schwachstelle lässt sich beliebiger JavaScript-Code im Kontext eines WordPress-Beitrags auszuführen. Diese Lücke gewährt unautorisierten Zugriff auf Admin-Privilegien und gefährdet Millionen von Websites.
Empfehlungen zur Verbesserung der Sicherheit:
- Aktualisieren Sie das All in One SEO-Plugin auf die neueste Version.
- Führen Sie regelmäßige Sicherheitsüberprüfungen durch.
- Implementieren Sie robuste Zugangskontrollen.
- Setzen Sie Web Application Firewalls (WAFs) ein, um XSS-Angriffe und andere Bedrohungen zu verhindern.
Weitere Informationen finden Sie in der WPScan-Datenbank. Nutzer des Plugins sollten umgehend Maßnahmen ergreifen, um diese Sicherheitslücke zu schließen und ihre Websites zu schützen.