2633235

Wordpress: Gefährliche Sicherheitslücke in SEO-Plug-in

22.12.2021 | 14:52 Uhr | Michael Söldner

Wer Wordpress mit dem beliebten Plug-in „All in One SEO“ betreibt, sollte dringend ein Update einspielen.

Viele Webseiten-Betreiber setzen auf das freie Content-Management-System Wordpress. Immer wieder tauchen im Zusammenhang mit dieser Software jedoch Sicherheitslücken auf, die aufgrund der hohen Verbreitung auch viele Nutzer weltweit gefährden. Derzeit sorgt eine Schwachstelle im Plug-in „All in One SEO“ für Probleme. Die als kritisch eingestufte Sicherheitslücke CVE-2021-25036 ermöglicht es Angreifern, über einen Subscriber-Account mit niedrigen Rechten höhere Nutzerrechte zu erlangen. Da Wordpress die Berechtigungen nur fehlerhaft überprüft, kann ein Angreifer mit einem Großbuchstaben in der Anfrage die obligatorische Prüfung komplett aushebeln.

Schwere Folgen

Als Ergebnis lassen sich beispielsweise Daten im Root-Verzeichnis der Webseite verändern. Entsprechend könnten Angreifer allerhand Schindluder mit einer so übernommenen Webseite treiben. Der Besitzer muss davon gar nichts mitbekommen, da die Webseite grundsätzlich noch wie gewohnt funktioniert.

Update schnell einspielen

Dazu kommt eine zweite Sicherheitslücke namens CVE-2021-25037, deren Risiko als hoch eingestuft wird. Um diese ausnutzen zu können, benötigen Angreifer allerdings höhere Nutzerrechte. Eine Kombination beider Schwachstellen könnten den Schaden für Besitzer noch weiter erhöhen. Da das Plug-in „All in One SEO“ aktuell von über drei Millionen Wordpress-Nutzern verwendet wird, ist die Gefahr entsprechend groß. Mit einem Update auf Version 4.1.5.3 wollen die Entwickler die Lücke nun geschlossen haben. Wer Wordpress zusammen mit „All in One SEO“ verwendet, sollte dieses Update schnellstmöglich einspielen.

Wordpress auf VPS installieren: So gehst du vor

PC-WELT Marktplatz

2633235