Der All-in-One SEO Pack hat mittlerweile die Zahl von mehr als einer Millionen Installationen weltweit überschritten.Das Plugin hilft Nutzern, die grundlegenden Einstellungen für die Suchmaschinenoptimierung sowohl für den gesamten Blog als auch für einzelne Beiträge einfach und ohne größere Vorkenntnisse vorzunehmen. Auch hier im Blog haben wir das SEO Plugin schon empfohlen.

Die große Popularität des Plugins könnte jetzt ein Problem werden, denn der Sicherheitsexperte David Vaartjes hat eine Sicherheitslücke im Plugin entdeckt. Dadurch wird es unter Umständen möglich, sich Zugriff auf den Administrator-Account eines Blogs zu verschaffen und damit hat ein Angreifer dann die Möglichkeit, auf alle Funktionen der Webseite zuzugreifen. Vaartjes selbst schreibt von der Version 2.3.6.1 des All in One SEO Pack, der von der Lücke betroffen ist. Man sollte aber sicherheitshalber auch davon ausgehen, dass ältere Versionen ebenso eine Lücke haben.

Zu den Details der Sicherheitslücke heißt es:

A stored Cross-Site Scripting vulnerability exists in the Bot Blocker functionality of the All in One SEO Pack WordPress Plugin (1+ million active installs). Particularly interesting about this issue is that an anonymous user can simply store his XSS payload in the Admin dashboard by just visiting the public site with a malformed User Agent or Referrer header.

The SEO Pack Bot Blocker functionality can be used to prevent certain bots from accessing/crawling the website. Bots can be detected based on User Agent and Referrer header patterns. When the User Agent contains one of the pre-configured list of bot names like „Abonti“, „Bullseye“ or „Exabot“ the request is blocked and a 404 is returned.

If the „Track Blocked Bots“ setting is enabled (not by default), blocked request are logged in that HTML page without proper sanitization or output encoding, allowing XSS.

Das Problem tritt also nicht in jedem Fall auf, sondern „nur“, wenn „Track Blocked Bots“ per Hand aktiviert wurde. Unabhängig davon sollte man aber die Version mit der Lücke umgehend ersetzen.

Dafür steht mittlerweile die Version 2.3.7 des All-in-One SEO Pack zur Verfügung und man sollte diese Version auf betroffenen Systemen so schnell wie möglich einspielen. Es kann auch nicht schaden, danach zu prüfen, ob neuere Dateien auf dem Server abgelegt wrode oder ob – auch sehr beliebt – ein weitere Administrator-Account angelegt wurde.

Falls man nicht selbst für die Technik zuständig ist, sondern dafür einen entsprechenden Dienstleister oder eine Internet- oder SEO-Agentur vor Ort beauftragt hat, kann es nicht schaden, Bescheid zu geben oder Nachzufragen, ob das Update mittlerweile durchgeführt wurde. Das ist in jedem Fall sicherer und billiger, als hinterher nach eventuellen Veränderungen nach einem Angriff zu suchen.

Bisher ist noch nicht bekannt, dass die Lücke aktiv ausgenutzt wird und es tatsächlich Angriffe auf ältere AIOS Plugins gibt. Es dürfte aber nur noch eine Frage der Zeit sein, bis auch diese Sicherheitsprobleme aktiv angegangen werden und daher ist ein Upgrade in jedem Fall zu empfehlen.

via t3n