Eine SicherheitslĂŒcke wurde im WordPress-Plugin des Google Site Kit entdeckt und spĂ€ter gepatcht.
Die SicherheitsanfÀlligkeit ermöglicht es einem Angreifer, Site-Berechtigungen zu erweitern und die Suchsichtbarkeit der Opfer anzugreifen, Site-Maps zu Àndern und vieles mehr.
WordPress-Plugin fĂŒr Google Site Kit
Die SicherheitsanfÀlligkeit betrifft das Site Kit von Google. Google Site Kit ist ein Google WordPress.
Google Site Kit zeigt Informationen zu Ihrer Website im WordPress-Administrationsbereich an. FĂŒgen Sie Informationen aus der Google Search Console (GSC), Google Analytics, AdSense, Page Speed ââInsights und anderen Google-Tools hinzu.
WordFence-Forscher (@wordfence) haben die SicherheitsanfĂ€lligkeit entdeckt, Google benachrichtigt und nach der Aktualisierung des Plugins eine AnkĂŒndigung veröffentlicht.
Laut AnkĂŒndigung:
"Dies wird als kritisches Sicherheitsproblem angesehen, das dazu fĂŒhren kann, dass Angreifer EigentĂŒmerzugriff auf ihre Website in der Google Search Console erhalten.
Mit dem EigentĂŒmerzugriff kann ein Angreifer Sitemaps Ă€ndern, Seiten von den Ergebnisseiten der Google-Suchmaschine (SERP) entfernen oder Black-Hat-SEO-Kampagnen durchfĂŒhren. "
Google Site Kit ist ein WordPress-Plugin, das Google AdSense-, Analytics- und GSC-Daten im WordPress-Administrationsbereich anzeigt.
SicherheitsanfĂ€lligkeit bezĂŒglich Eskalation von Berechtigungen
Die SicherheitsanfĂ€lligkeit, die Google Site Kit betrifft, ist ein Exploit zur Eskalation von Berechtigungen. FĂŒr diese Art der Ausnutzung muss ein Angreifer auf der WordPress-Site registriert sein (z. B. als Abonnent), um eine SicherheitslĂŒcke auszunutzen.
In der Regel verfĂŒgt ein auf Abonnentenebene registrierter Benutzer ĂŒber minimale Berechtigungen fĂŒr eine Website. Die SicherheitsanfĂ€lligkeit ermöglicht es einem Angreifer jedoch, Administratorrechte auf Site-Ebene zu erhalten, um seine Site-Zugriffsrechte zu erweitern.
Die SicherheitsanfÀlligkeit wurde am 21. April 2020 von der WordFence-Sicherheitsforscherin Chloe Chamberland entdeckt und am selben Tag an Google gemeldet. Google hat am 7. Mai 2020 einen Patch veröffentlicht
Laut der WordFence-Schwachstellenforscherin Chloe Chamberland:
âDas Verbinden von zwei Systemen, wie einer WordPress-Site und den proprietĂ€ren Site-Tools von Google, birgt immer ein gewisses Risiko. Es ist von entscheidender Bedeutung, sicherzustellen, dass die Integration zwischen beiden Systemen gewĂ€hrleistet ist.
Wenn Unternehmen wie Google eine leicht zu findende Richtlinie zur Offenlegung von SicherheitslĂŒcken haben, können Forscher damit Endbenutzerprobleme schnell beheben.
Mit zunehmender Reife veröffentlichen immer mehr Entwickler Clear Vulnerability Disclosure Policies. Es muss jedoch noch mehr getan werden, um sicherzustellen, dass Sicherheitsforscher und Entwickler schnell eine Verbindung herstellen und das Web fĂŒr alle sicherer machen können. ""
Abonnenten des WordFence Premium-Sicherheits-Plugins wĂ€ren am selben Tag, an dem es entdeckt wurde, Wochen bevor Google den Patch veröffentlichte, vor dieser SicherheitsanfĂ€lligkeit geschĂŒtzt gewesen.
ANZEIGE
LESEN SIE UNTEN WEITER
Betroffene Google Site Kit-Versionen
Diese SicherheitsanfÀlligkeit betrifft Versionen von Google Site Kit, die niedriger als Version 1.8.0 sind.
Google Site Kit 1.8.0 wurde vollstÀndig gepatcht. Es wird dringend empfohlen, dass Benutzer ihr Plugin sofort aktualisieren.
Das Ănderungsprotokoll des Google Site Kit WordPress-Plugins zeigt deutlich an, dass Version 1.8.0 ein Sicherheitsupdate enthĂ€lt, und empfiehlt den Benutzern dringend, ein Update durchzufĂŒhren.
Lesen Sie die offizielle AnkĂŒndigung:
Die SicherheitsanfÀlligkeit im Google WordPress-Plugin gewÀhrt Zugriff auf die Suchkonsole des Angreifers
