Vorige week werd bekend dat er een lek zit in de populaire WordPress SEO plugin van Yoast. Gisteren werd bekendgemaakt dat er ook een lek zit in de Google Analytics plugin van Yoast. Zie het artikel op de Yoast website: GA plugin security update & more.

Wat houdt het lek in?

Door dit lek kan een niet-geverifieerde gebruiker de lijst met profielen in Google Analytics veranderen (de actieve UA code kan niet veranderd worden, dus er is geen directe impact op de tracking). Omdat Google Analytics property names met JavaScript-code toestaat, kan er een stored XSS aanval worden gedaan als een admin de settings pagina in GA bezoekt. Dit is niet iets wat een hacker kan gemakkelijk automatiseren, maar het is mogelijk. aldus Yoast. Op de site geeft Yoast ook aan dat het in beide gevallen om een lek met een lage DREAD score gaat (DREAD score low).

Security update!

Ook nu is er  meteen een security update gedaan. Als je de gratis versie van de Google Analytics plugin gebruikt, moet je deze updaten naar versie 5.3.3. Als je de Premium versie gebruikt, moet je upgraden naar versie 1.2.2.