Site Kit: Kritische Sicherheitslücke in Google-Plugin für WordPress

Site Kit, das offizielle Google-Plugin für WordPress, enthielt eine kritische Sicherheitslücke, die es ermöglichte, unberechtigten Zugriff auf Properties in der Google Search Console zu erhalten. Inzwischen gibt es einen Sicherheitsfix.

Ein weit verbreitetes WordPress-Plugin enthielt offenbar eine kritische Sicherheitslücke: Site Kit, das Daten aus Google Analytics, der Google Search Console, AdSense sowie PageSpeed Insights und weiteren Google-Tools auf einem Dashboard zusammenstellt, wurde von Google mitentwickelt.

Das Team von WordFence, eines Sicherheits-Plugins für WordPress, hat eine Sicherheitslücke in Site Kit entdeckt und darüber berichtet. Durch diese Lücke könne sich jeder authentifizierte Nutzer als Eigentümer in der Google Search Console für jede Website ausweisen, welche das Google Site Kit-Plugin verwendet:

"This flaw allows any authenticated user, regardless of capability, to become a Google Search Console owner for any site running the Site Kit by Google plugin."

Als Eigentümer einer Property in der Google Search Console kann man zum Beispiel Sitemaps anpassen, Seiten aus den Suchergebnissen von Google entfernen und weitere kritische Handlungen vornehmen, welche der Sichtbarkeit und der Darstellung der betroffenen Website in der Suche schaden können.

Dabei kommt ein sogenanner Privilege Escalation Exploit zur Anwendung: Dazu muss ein Angreifer auf einer WordPress-Website registriert sein. Es genügt schon, als Subscriber angemeldet zu sein. Durch die Sicherheitslücke im Plugin war es möglich, sich zusätzliche Rechte zu sichern.

Betroffen sind Versionen von Google Site Kit mit einer Versionsnummer unter 1.8.0. Die Version 1.8.0 enthält einen Patch. Aus diesem Grund wird Nutzern von Google Site Kit dringend empfohlen, auf die aktuellste Version des Plugins zu wechseln und ein Update durchzuführen.

{loadposiiton newsletter}