WordPressIn einem beliebten AMP-Plugin für WordPress wurde eine Sicherheitslücke gefunden, die dazu führt, dass Außenstehende Inhalte in die Seiten einfügen können.

Das Plugin "AMP for WP - Accelerated Mobile Pages" mit mehr als 100.000 Downloads war vorübergehend von der offiziellen Plugin-Seite von wordpress.org entfernt worden. Laut Aussage der Entwickler des Plugins ist der Grund dafür eine Sicherheitslücke des Plugins, die es Außenstehenden auch ohne Administrationsrechte ermöglicht, fremde Inhalte wie HTML oder JavaScript in die betroffenen Seiten einzufügen.

Wörtlich schreiben die Entwickler auf Ihrer Seite:

"We’ve got a report from the WordPress that they found a security Vulnerability in our plugin which could be exploited by non-admins of the site, so to prevent the exploitation they temporary withdraw our plugin for further download. But the existing user’s will be able to use the plugin like always."

Vor wenigen Stunden wurde eine neue Version auf Wordpress zur Verfügung gestellt. Allen Nutzern des Plugins ist zu empfehlen, ein Update auf die neueste Version durchzuführen. Sofern automatische Updates aktiviert sind, sollte bereits die aktuelle Version installiert sein. Zur Sicherheit sollte aber die installierte Versionsnummer abgeglichen werden. Aktuell ist die Version 0.9.97.21.

 

Verwandte Beiträge