Sicherheitslücke bei WordPress-Plugin: Async JavaScript

 

Sicherheitslücke WordPress Plugin async JS stored xss

Aktuell wurde uns eine Sicherheitslücke bei dem beliebten WordPress Plugin Async JavaScript gemeldet.
Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

Das WordPress Plugin: Async JavaScript

Mit diesem Plugin kannst du die effektive Ladezeit von Seiten und damit auch die Nutzererfahrung optimieren – beides relevante SEO-Faktoren. Konkret verhindert es, dass Java-Skripte unnötig den Seitenaufbau behindern. So kann man erreichen, dass zuerst der unmittelbar Sichtbare Teil einer Webseite (above the fold Content) mit dem dazu benötigten Javaskript-Inventar geladen wird und erst dann der Rest verarbeitet wird.
Das Plugin zählt laut WordPress.org aktuell über 100.000 aktive Nutzer.

 


Bekannt geworden am 28.02.2020:

Kritische Sicherheitslücke: Authenticated XSS

Mit aj_steps können Einstellungen des Plugins via wp-admin/admin-ajax.php geändert werden. Diese AJAX-Aktion ist eigentlich authentifizierten Nutzern vorbehalten, jedoch fehlt hier die entsprechende Prüfung im Code. Daher können auch unpriviligierte User wie bspw. Subscriber die Plugin-Einstellungen ändern. So können bösartige Javaskripte auf dem System eines entsprechend betroffenen Adminstrators ausgeführt werden, der lediglich sein WP-Dashboard anschaut. Inbesondere weil diese Lücke im Rahmen einer akuten Malware-Kampagne ausgebeutet wird, besteht hier ein großes Risiko.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (2.20.02.27) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10098
mehr Details (Englisch) unter: https://www.wordfence.com/blog/2020/02/site-takeover-campaign-exploits-multiple-zero-day-vulnerabilities/

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.


 

Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.


 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.