WordPress patcht Cross-Site Scripting-Sicherheitslücke

Table of Contents

In der Veröffentlichung von WordPress 6.5.2 am 9. April 2024 wurde eine gespeicherte Cross-Site-Scripting-Sicherheitslücke gepatcht, die von nicht authentifizierten Benutzern ausgenutzt werden konnte, wenn ein Kommentarblock auf einer Seite vorhanden ist, sowie von authentifizierten Benutzern, die Zugriff auf den Block-Editor haben.

In Version 6.0 fügte WordPress einen neuen Avatar-Block hinzu. Dieser Block kann laut Wordfence verwendet werden, um den Avatar eines Postautors innerhalb eines Beitrags anzuzeigen oder den Avatar eines Kommentarautors anzuzeigen, wenn er innerhalb eines Kommentarblocks verwendet wird. Leider wurde der Code, der einen Link zur vom Autor bereitgestellten Website-URL oder zum Postarchiv anzeigt, unsicher implementiert, was es möglich machte, beliebigen JavaScript-Code mithilfe eines attributebasierten XSS-Payloads einzufügen.

Wie bei jeder Cross-Site-Scripting-Sicherheitslücke kann dies dazu verwendet werden, bösartige Web-Skripte einzufügen, die verwendet werden können, um administrative Benutzer hinzuzufügen oder den Theme-/Plugin-Code zu modifizieren, um eine Hintertür einzufügen, sowie viele andere Konsequenzen. Obwohl dies schwerwiegend ist, ist es erwähnenswert, dass nur Websites, die Registrierungen auf Beitragende-Ebene und höher zulassen und Zugriff auf den Block-Editor bieten, sowie Websites, die einen Kommentarblock verwenden, betroffen sind.

WordPress-Admins werden dringend aufgerufen, ihre Websites auf Version 6.5.2 oder eine andere zurückportierte Sicherheitsversion zu aktualisieren, da dieses Problem bei den richtigen Bedingungen einen vollständigen Übernahme der Website ermöglichen kann. Die meisten Websites sollten automatisch aktualisiert worden sein, jedoch ist es ratsam, zu überprüfen, ob die automatische Aktualisierung erfolgreich war.
Betroffene Versionen sind: 6.5 - 6.5.1, 6.4 - 6.4.3, 6.3 - 6.3.3, 6.2 - 6.2.4, 6.1 - 6.1.5, 6.0 - 6.0.7

Der CVSS Score: 7.2 / 10 ist hoch und die Bewertung nach dem Common Vulnerability Scoring System CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N bedeutet im Detail:

  • AV: Angreifer-Status. Hier “N” für “Network” (Netzwerk). Dies bedeutet, dass ein Angreifer über ein Netzwerk auf die Schwachstelle zugreifen kann.
  • AC: Zugriffs-Status. Hier “L” für “Low” (Niedrig). Dies bedeutet, dass die Schwachstelle zwar für den Angriff vorhanden ist, jedoch eine spezifische Voraussetzung oder eine spezifische Interaktion erforderlich ist.
  • PR: Privilegien-Erforderlichkeit. Hier “N” für “None” (Keine). Dies bedeutet, dass für die Ausnutzung der Schwachstelle keine speziellen Benutzerberechtigungen erforderlich sind.
  • UI: Benutzeroberflächen-Interaktion. Hier “N” für “None” (Keine). Dies bedeutet, dass keine Benutzerinteraktion erforderlich ist, um die Schwachstelle auszunutzen.
  • S: Auswirkungen auf die Vertraulichkeit. Hier “C” für “Confidentiality” (Vertraulichkeit). Dies bedeutet, dass die Schwachstelle die Vertraulichkeit der Informationen beeinträchtigen kann.
  • C: Auswirkungen auf die Integrität. Hier “L” für “Low” (Niedrig). Dies bedeutet, dass die Schwachstelle die Integrität der betroffenen Daten beeinträchtigen kann, jedoch nicht vollständig korrumpiert.
  • I: Auswirkungen auf die Verfügbarkeit. Hier “L” für “Low” (Niedrig). Dies bedeutet, dass die Schwachstelle die Verfügbarkeit des betroffenen Systems oder der betroffenen Daten beeinträchtigen kann, jedoch nicht vollständig stoppt.
  • A: Auswirkungen auf die Verfügbarkeit. Hier “N” für “None” (Keine). Dies bedeutet, dass die Schwachstelle keine Auswirkungen auf die betroffene Verfügbarkeit hat.

Update vom 3.5.24

Mittlerweile wurde von der NIST der CVE Code CVE-2024-4439 vergeben. Der CVSS Score von 7.2 bleibt bestehen.

Related Posts

Fortinet: Administrator Cookie Diebstahl durch Schwachstelle möglich

9. April 2024 - Eine schwere Sicherheitslücke wurde in den Produkten FortiOS und FortiProxy von Fortinet entdeckt, die es Angreifern unter bestimmten Bedingungen ermöglicht, Administrator-Cookies zu erlangen. Diese Schwachstelle, klassifiziert unter CWE-522 als “Unzureichend geschützte Anmeldeinformationen”, tritt auf, wenn ein Administrator dazu verleitet wird, über den SSL-VPN eine bösartige, vom Angreifer kontrollierte Website zu besuchen. Mit den Administrator-Cookies können Angreifer sich als Administrator ausgeben. Dies ermöglicht ihnen den Zugang zu sensiblen Bereichen des Systems oder der Anwendung, die normalerweise auf den Administrator beschränkt sind.

Read More

PuTTY und FileZilla Werbeanzeigen führen auf Malware

9. April 2024 - Die Firma Malwarebytes hat bösartige Werbenzeigen für Putty und Filezilla beobachtet, die als gesponserte Ergebnisse auf Google erscheinen und dazu führen, dass die Nitrogen-Malware auf den Computern der Opfer installiert wird.

Read More

Sicherheitspanne bei Microsoft: interne Passwörter offen im Netz

April 2024: Die Sicherheitsforscher von SOCRadar entdeckten einen öffentlich zugänglichen Speicherserver auf Microsofts Azure-Cloud-Dienst, der interne Informationen in Bezug auf Microsofts Suchmaschine Bing speicherte. Der Azure-Speicherserver enthielt Code, Skripte und Konfigurationsdateien mit Passwörtern, Schlüsseln und Anmeldeinformationen, die Microsoft-Mitarbeiter für den Zugriff auf andere interne Datenbanken und Systeme nutzten. Laut einem Interview mit TechCrunch war das Problem, dass der Speicherserver selbst nicht durch ein Passwort geschützt war und somit von jedermann im Internet eingesehen werden konnte.

Read More