In der Veröffentlichung von WordPress 6.5.2 am 9. April 2024 wurde eine gespeicherte Cross-Site-Scripting-Sicherheitslücke gepatcht, die von nicht authentifizierten Benutzern ausgenutzt werden konnte, wenn ein Kommentarblock auf einer Seite vorhanden ist, sowie von authentifizierten Benutzern, die Zugriff auf den Block-Editor haben.
In Version 6.0 fügte WordPress einen neuen Avatar-Block hinzu. Dieser Block kann laut Wordfence verwendet werden, um den Avatar eines Postautors innerhalb eines Beitrags anzuzeigen oder den Avatar eines Kommentarautors anzuzeigen, wenn er innerhalb eines Kommentarblocks verwendet wird. Leider wurde der Code, der einen Link zur vom Autor bereitgestellten Website-URL oder zum Postarchiv anzeigt, unsicher implementiert, was es möglich machte, beliebigen JavaScript-Code mithilfe eines attributebasierten XSS-Payloads einzufügen.
Wie bei jeder Cross-Site-Scripting-Sicherheitslücke kann dies dazu verwendet werden, bösartige Web-Skripte einzufügen, die verwendet werden können, um administrative Benutzer hinzuzufügen oder den Theme-/Plugin-Code zu modifizieren, um eine Hintertür einzufügen, sowie viele andere Konsequenzen. Obwohl dies schwerwiegend ist, ist es erwähnenswert, dass nur Websites, die Registrierungen auf Beitragende-Ebene und höher zulassen und Zugriff auf den Block-Editor bieten, sowie Websites, die einen Kommentarblock verwenden, betroffen sind.
WordPress-Admins werden dringend aufgerufen, ihre Websites auf Version 6.5.2 oder eine andere zurückportierte Sicherheitsversion zu aktualisieren, da dieses Problem bei den richtigen Bedingungen einen vollständigen Übernahme der Website ermöglichen kann. Die meisten Websites sollten automatisch aktualisiert worden sein, jedoch ist es ratsam, zu überprüfen, ob die automatische Aktualisierung erfolgreich war.
Betroffene Versionen sind: 6.5 – 6.5.1, 6.4 – 6.4.3, 6.3 – 6.3.3, 6.2 – 6.2.4, 6.1 – 6.1.5, 6.0 – 6.0.7
Der CVSS Score: 7.2 / 10 ist hoch und die Bewertung nach dem Common Vulnerability Scoring System CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N bedeutet im Detail:
- AV: Angreifer-Status. Hier „N“ für „Network“ (Netzwerk). Dies bedeutet, dass ein Angreifer über ein Netzwerk auf die Schwachstelle zugreifen kann.
- AC: Zugriffs-Status. Hier „L“ für „Low“ (Niedrig). Dies bedeutet, dass die Schwachstelle zwar für den Angriff vorhanden ist, jedoch eine spezifische Voraussetzung oder eine spezifische Interaktion erforderlich ist.
- PR: Privilegien-Erforderlichkeit. Hier „N“ für „None“ (Keine). Dies bedeutet, dass für die Ausnutzung der Schwachstelle keine speziellen Benutzerberechtigungen erforderlich sind.
- UI: Benutzeroberflächen-Interaktion. Hier „N“ für „None“ (Keine). Dies bedeutet, dass keine Benutzerinteraktion erforderlich ist, um die Schwachstelle auszunutzen.
- S: Auswirkungen auf die Vertraulichkeit. Hier „C“ für „Confidentiality“ (Vertraulichkeit). Dies bedeutet, dass die Schwachstelle die Vertraulichkeit der Informationen beeinträchtigen kann.
- C: Auswirkungen auf die Integrität. Hier „L“ für „Low“ (Niedrig). Dies bedeutet, dass die Schwachstelle die Integrität der betroffenen Daten beeinträchtigen kann, jedoch nicht vollständig korrumpiert.
- I: Auswirkungen auf die Verfügbarkeit. Hier „L“ für „Low“ (Niedrig). Dies bedeutet, dass die Schwachstelle die Verfügbarkeit des betroffenen Systems oder der betroffenen Daten beeinträchtigen kann, jedoch nicht vollständig stoppt.
- A: Auswirkungen auf die Verfügbarkeit. Hier „N“ für „None“ (Keine). Dies bedeutet, dass die Schwachstelle keine Auswirkungen auf die betroffene Verfügbarkeit hat.
Update vom 3.5.24
Mittlerweile wurde von der NIST der CVE Code CVE-2024-4439 vergeben. Der CVSS Score von 7.2 bleibt bestehen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: