Forscher haben Hinweise für elf separate Elementor-Add-on-Plugins mit 15 Schwachstellen herausgegeben, die es Hackern ermöglichen können, schädliche Dateien hochzuladen. Eine davon wird als Schwachstelle mit hoher Bedrohung eingestuft, da sie es Hackern ermöglichen kann, Zugriffskontrollen zu umgehen, Skripte auszuführen und an vertrauliche Daten zu gelangen.
Zwei verschiedene Arten von Sicherheitslücken
Bei den meisten Schwachstellen handelt es sich um Stored Cross Site Scripting (XSS). Drei davon sind Local File Inclusion.
XSS-Schwachstellen gehören zu den häufigsten Formen von Schwachstellen in WordPress-Plugins und -Themes. Sie entstehen im Allgemeinen durch Fehler bei der Sicherung von Eingabedaten (Eingabebereinigung) und auch bei der Sperrung von Ausgabedaten (Ausgabe-Escape).
Bei einer Sicherheitslücke zur lokalen Dateieinbindung wird ein ungesicherter Benutzereingabebereich ausgenutzt, der es einem Angreifer ermöglicht, eine Datei in die Eingabe einzubinden. Include ist ein Codierungsbegriff. Im Klartext handelt es sich bei einer Dateieinbindung um ein Skript (eine Anweisung), das die Website anweist, einen bestimmten Code aus einer Datei, beispielsweise einer PHP-Datei, hinzuzufügen. Ich habe Includes in PHP verwendet, um Daten aus einer Datei (wie den Titel einer Webseite) einzubinden und in die Meta-Beschreibung einzufügen, das ist ein Beispiel für ein Include.
Diese Art von Sicherheitslücke kann eine ernsthafte Bedrohung darstellen, da sie es einem Angreifer ermöglicht, eine Vielzahl von Codes „einzubinden“, was wiederum dazu führen kann, dass Beschränkungen für Aktionen, die auf der Website ausgeführt werden können, umgangen und/oder der Zugriff ermöglicht wird auf sensible Daten, die normalerweise eingeschränkt sind.
Das Open Web Application Security Project (OWASP) definiert eine Schwachstelle bezüglich Local File Inclusion:
„Die File Inclusion-Schwachstelle ermöglicht es einem Angreifer, eine Datei einzubinden, indem er in der Regel einen in der Zielanwendung implementierten „dynamischen Dateieinschluss“-Mechanismus ausnutzt. Die Sicherheitslücke entsteht durch die Verwendung von Benutzereingaben ohne ordnungsgemäße Validierung.
Dies kann dazu führen, dass der Inhalt der Datei ausgegeben wird, aber je nach Schweregrad kann es auch zu Folgendem führen:
Codeausführung auf dem Webserver
Clientseitige Codeausführung wie JavaScript, die zu anderen Angriffen wie Cross-Site-Scripting (XSS) führen kann.
Denial of Service (DoS)
Offenlegung sensibler Informationen“
Liste der anfälligen Elementor-Add-On-Plugins
Insgesamt gibt es elf Elementor-Add-on-Plugins mit Schwachstellenwarnungen, von denen zwei heute (29. März) und zwei am 28. März veröffentlicht wurden. Die restlichen sieben wurden in den letzten Tagen ausgestellt.
Einige der Plugins weisen mehr als eine Schwachstelle auf, sodass insgesamt 15 Schwachstellen in elf der Plugins vorliegen.
Von den elf Plugins wird eines als Sicherheitslücke mit hohem Schweregrad eingestuft, die übrigen als Sicherheitslücke mit mittlerem Schweregrad.
Hier ist die Liste der Plugins in absteigender Reihenfolge vom aktuellsten zum ältesten. Die Zahlen neben den Schwachstellen geben an, ob mehr als eine Schwachstelle vorliegt.
Liste der anfälligen Elementor-Add-Ons
- ElementsKit Elementor-Addons (x2)
- Unbegrenzte Elemente für Elementor
- Über 140 Widgets | Beste Addons für Elementor
- Bessere Elementor-Addons
- Elementor-Addon-Elemente (x2)
- Master-Add-ons für Elementor
- Die Plus-Addons für Elementor (x2)
- Wesentliche Add-ons für Elementor (x2)
- Element Pack Elementor Add-ons
- Prime Slider – Add-ons für Elementor
- Add-ons für Elementor verschieben
Sicherheitslücke mit hohem Schweregrad
Die Sicherheitslücke „High Severity“ im ElementsKit Elementor Addons-Plugin für WordPress ist besonders besorgniserregend, da sie über eine Million Websites gefährden kann. Diese Schwachstelle wird auf einer Skala von 1 bis 10 mit 8,8 bewertet.
Der Grund für seine Beliebtheit ist der All-in-One-Charakter des Plugins, der es Benutzern ermöglicht, praktisch jede On-Page-Designfunktion in den Kopf- und Fußzeilen sowie in den Menüs einfach zu ändern. Es enthält außerdem eine umfangreiche Vorlagenbibliothek und 85 Widgets, die Webseiten, die mit der Website-Erstellungsplattform Elementor erstellt wurden, zusätzliche Funktionalität hinzufügen.
Die Sicherheitsforscher von Wordfence beschrieben die Bedrohung durch die Sicherheitslücke:
„Das ElementsKit Elementor-Add-ons-Plugin für WordPress ist in allen Versionen bis einschließlich 3.0.6 über die Funktion render_raw anfällig für die Einbindung lokaler Dateien.“ Dies ermöglicht es authentifizierten Angreifern mit Zugriff auf Mitwirkender-Ebene und höher, beliebige Dateien auf dem Server einzuschließen und auszuführen, wodurch die Ausführung von beliebigem PHP-Code in diesen Dateien ermöglicht wird. Dies kann verwendet werden, um Zugriffskontrollen zu umgehen, vertrauliche Daten zu erhalten oder die Ausführung von Code zu erreichen, wenn Bilder und andere „sichere“ Dateitypen hochgeladen und eingebunden werden können.“
Millionen von WordPress-Sites betroffen
Die Schwachstellen können über 3 Millionen Websites betreffen. Nur zwei der Plugins haben insgesamt drei Millionen aktive Installationen. Websites neigen dazu, nur eines dieser Plugins zu verwenden, da es gewisse Überschneidungen zwischen den Funktionen gibt. Der All-in-One-Charakter einiger dieser Plugins bedeutet, dass nur ein Plugin benötigt wird, um auf wichtige Widgets zum Hinzufügen von Schiebereglern, Menüs und anderen Elementen auf der Seite zuzugreifen.
Liste der anfälligen Plugins nach Anzahl der Installationen
- Wesentliche Add-ons für Elementor – 2 Millionen
- ElementsKit Elementor-Addons – 1 Million
- Unbegrenzte Elemente für Elementor – 200.000
- Elementor-Addon-Elemente – 100.000
- Die Plus-Addons für Elementor – 100.000
- Element Pack Elementor Addons – 100.000
- Prime Slider – Add-ons für Elementor – 100.000
- Master-Addons für Elementor – 40.000
- Über 140 Widgets | Beste Addons für Elementor – 10k
- Move-Addons für Elementor – 3k
- Bessere Elementor-Addons – Unbekannt – Von WordPress geschlossen
Empfohlene Maßnahme
Obwohl viele der Schwachstellen mit mittlerem Schweregrad erfordern, dass Hacker eine Authentifizierung auf Mitwirkender-Ebene erhalten, um einen Angriff zu starten, sollte man das Risiko nicht unterschätzen, das von anderen Plugins oder installierten Themes ausgeht, die dem Angreifer die Möglichkeit geben könnten, diese spezifischen Angriffe zu starten.
Im Allgemeinen ist es ratsam, aktualisierte Themes zu testen, bevor Updates auf eine Live-Site übertragen werden.
Lesen Sie die offiziellen Wordfence-Hinweise (mit CVE-Nummern):
A. 29.03. ElementsKit Elementor-Addons <= 3.0.6 – Authentifiziertes (Mitwirkender+) gespeichertes Cross-Site-Scripting CVE-2024-1238
B. 29.03. ElementsKit Elementor-Addons <= 3.0.6 – Authentifizierte (Mitwirkender+) lokale Dateieinbindung in render_raw CVE-2024-2047 8.8 HOHE BEDROHUNG
29.03. Unbegrenzte Elemente für Elementor <= 1.5.96 – Authentifiziertes (Mitwirkender+) gespeichertes Cross-Site-Scripting über Widget-Link CVE-2024-0367
28.03. 140+ Widgets | Beste Add-ons für Elementor – KOSTENLOS <= 1.4.2 – Authentifiziertes (Mitwirkender+) gespeichertes Cross-Site-Scripting CVE-2024-2250
3/28 Bessere Elementor-Add-ons <= 1.4.1 – Authentifiziertes (Mitwirkender+) gespeichertes Cross-Site-Scripting über Widget-Links CVE-2024-2280
A. Elementor-Add-on-Elemente <= 1.13.1 – Authentifiziertes (Mitwirkender+) gespeichertes Cross-Site-Scripting CVE-2024-2091
B. Elementor-Add-on-Elemente <= 1.13.2 – Authentifiziertes (Mitwirkender+) DOM-basiertes, gespeichertes Cross-Site-Scripting über das Widget „Texttrennzeichen“ und „Bildvergleich“ CVE-2024-2792
Master-Add-ons für Elementor <= 2.0.5.6 – Authentifiziertes (Mitwirkender+) gespeichertes Cross-Site-Scripting über das Preistabellen-Widget CVE-2024-2139
A. Die Plus-Add-ons für Elementor <= 5.4.1 – Authentifizierte (Mitwirkende+) lokale Dateieinbindung über die Teammitgliederliste CVE-2024-2210
B. Die Plus-Add-ons für Elementor <= 5.4.1 – Authentifizierte (Mitwirkende+) Einbindung lokaler Dateien über das Client-Widget CVE-2024-2203
A. Wesentliche Add-ons für Elementor – Beste Elementor-Vorlagen, Widgets, Kits und WooCommerce-Builder <= 5.9.11 – Authentifiziertes (Mitwirkender+) gespeichertes Cross-Site-Scripting (über den Nachrichtenparameter des Countdown-Widgets) CVE-2024-2623
B. Wesentliche Add-ons für Elementor – Beste Elementor-Vorlagen, Widgets, Kits und WooCommerce-Builder <= 5.9.11 – Authentifiziertes (Mitwirkender+) gespeichertes Cross-Site-Scripting (über den Ausrichtungsparameter im Woo-Produktkarussell-Widget) CVE-2024-2650
Element Pack Elementor Addons <= 5.5.3 – Authentifiziertes (Mitwirkender+) gespeichertes Cross-Site-Scripting über Link CVE-2024-30185
Prime Slider – Add-ons für Elementor <= 3.13.1 – Authentifiziertes (Mitwirkender+) gespeichertes Cross-Site-Scripting über den Titel CVE-2024-30186
Move Addons für Elementor <= 1.2.9 – Authentifiziertes (Mitwirkender+) gespeichertes Cross-Site-Scripting CVE-2024-2131
Ausgewähltes Bild von Shutterstock/Andrey Myagkov