Jetzt patchen! CERT-Bund stößt abermals auf tausende angreifbare Exchange Server

Angreifer könnten WordPress-Websites mit All in One SEO mit Schadcode attackieren. Eine abgesicherte Version schafft Abhilfe.

Das Plug-in All in One SEO kann WordPress-Webistes gefährden. In der aktuellen Version haben die Entwickler zwei Sicherheitslücken geschlossen.

Die gefährlichste Schwachstelle (CVE-2021-25036 „kritisch“) betrifft die REST API. Einem Beitrag der Entdecker der Lücke von Jetpack zufolge genügt es, wenn Angreifer einen Subscriber-Account mit niedrigen Nutzerrechten für eine Website anlegen. Das kann man bei WordPress-Seiten oft standardmäßig machen.

  Kompletten Artikel auf heise.de lesen