Das Plugin All-in-One-SEO gehört mit über 3 Millionen aktiven Installationen zu den meist genutzten SEO Plugins bei WordPress Webseiten. Ende Januar 2023 hat das Team von Wordfence auf zwei Schwachstellen aufmerksam gemacht. Bei den Problemen handeltes es sich gestortete Cross-Site-Scripting-Schwachstellen, von denen eine Berechtigungen auf Administratorebene ( CVE-2023-0585 ) und eine höhere ( CVE-2023-0586 ) erforderte.
Betroffen sind die Pluginversionen 4.2.9 und kleiner. Die Schwachstelle ermöglichte es Benutzern mit Zugriff auf den Post-Editor, z. B. Mitwirkenden, schädliches JavaScript in diese Felder einzufügen, das im Browser jedes authentifizierten Benutzers, z. B. des Administrators einer Website, ausgeführt wurde, der einen solchen Post oder eine Seite bearbeitete.
Wordfence hat inzwischen für alle Lizenzen (Premium und kostenfrei) eine entsprechende Firewall-Regel zum Schutz vor Contributor+ Stored Cross-Site Scripte erlassen. Webseitenbetreiber, die Wordfence nutzen, sollte Sie Ihr Plugin daher updaten.
Für das All-in-One-SEO Plugin gibt es inzwischen ebenfalls Sicherheitsupdates. Alle User, die noch die Version 4.2.9 oder kleiner nutzen, sollten zeitnah AIO updaten.
Gerne helfen wir Ihnen beim Update Ihrer Plugins und WordPress. Falls Sie Befürchtungen haben, dass Ihre Webseite kompromittiert wurde, helfen wir Ihnen ebenfalls weiter.
