Eine schwerwiegende Sicherheitslücke wurde im weit verbreiteten WordPress-Plugin „All in One SEO“ entdeckt, das mehr als 3 Millionen Installationen zählt. Diese Schwachstelle, gekennzeichnet als CVE-2024-3368, ermöglicht Angreifern die Ausführung von schädlichem Code durch gespeicherte Cross-Site Scripting (XSS)-Angriffe. Dies könnte zur Erstellung von Administrator-Accounts durch Beitragsautoren führen, betroffen sind alle All in One SEO Versionen älter als 4.6.1.1.
In Folge der Schwachstelle lässt sich beliebiger JavaScript-Code im Kontext eines WordPress-Beitrags auszuführen. Diese Lücke gewährt unautorisierten Zugriff auf Admin-Privilegien und gefährdet Millionen von Websites.
Empfehlungen zur Verbesserung der Sicherheit:
- Aktualisieren Sie das All in One SEO-Plugin auf die neueste Version.
- Führen Sie regelmäßige Sicherheitsüberprüfungen durch.
- Implementieren Sie robuste Zugangskontrollen.
- Setzen Sie Web Application Firewalls (WAFs) ein, um XSS-Angriffe und andere Bedrohungen zu verhindern.
Weitere Informationen finden Sie in der WPScan-Datenbank. Nutzer des Plugins sollten umgehend Maßnahmen ergreifen, um diese Sicherheitslücke zu schließen und ihre Websites zu schützen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: