Ook lek in Yoast Google Analytics plugin

Vorige week werd bekend dat er een lek zit in de populaire WordPress SEO plugin van Yoast. Gisteren werd bekendgemaakt dat er ook een lek zit in de Google Analytics plugin van Yoast. Zie het artikel op de Yoast website: GA plugin security update & more.

Wat houdt het lek in?

Door dit lek kan een niet-geverifieerde gebruiker de lijst met profielen in Google Analytics veranderen (de actieve UA code kan niet veranderd worden, dus er is geen directe impact op de tracking). Omdat Google Analytics property names met JavaScript-code toestaat, kan er een stored XSS aanval worden gedaan als een admin de settings pagina in GA bezoekt. Dit is niet iets wat een hacker kan gemakkelijk automatiseren, maar het is mogelijk. aldus Yoast. Op de site geeft Yoast ook aan dat het in beide gevallen om een lek met een lage DREAD score gaat (DREAD score low).

Security update!

Ook nu is er  meteen een security update gedaan. Als je de gratis versie van de Google Analytics plugin gebruikt, moet je deze updaten naar versie 5.3.3. Als je de Premium versie gebruikt, moet je upgraden naar versie 1.2.2.

Lek ontdekt in WordPress SEO plugin van Yoast

wordpress seo yoastEr is een lek ontdekt in de populaire WordPress SEO plugin van Yoast. Deze kwetsbaarheid (Blind SQL injection) is ontdekt door Ryan Dewhurst van WPScan. Er is al een (automatische) security update gedaan voor de plugin om het lek te verhelpen.
 

Wat houdt het lek precies in?

Als een ingelogde auteur, editor of admin een verkeerde URL bezoekt, kan een kwaadwillende hacker de database wijzigen en gebruikers op de site direct benaderen.  Om het lek te misbruiken, moet een hacker dus gebruikmaken van een ingelogde auteur, editor of admin. Bijvoorbeeld door een link te sturen met een zogenaamde aanbieding. Bij het klikken op de link wordt automatisch een bestand verstuurd.

Automatische security update

Vanwege de ernst van het probleem is er een automatische update gedaan. Als je automatisch updaten niet zelf hebt uitgezet en je de WordPress SEO plugin versie 1.7 of hoger gebruikt, ben je dus waarschijnlijk al automatisch geüpdatet naar 1.7.4. Gebruikte je versie 1.6 dan zit je nu op 1.6.4 en gebruikte je 1.5 dan zit je nu op 1.5.7. Gebruik je nog een oudere versie dan is je plugin niet automatisch geüpdatet. Je moet de plugin dan zelf updaten (wat sowieso verstandig is).

Bron: Yoast.com.