Im Website Builder von SeedProd, der über 900.000 Installationen aufweist, wurde eine erhebliche Sicherheitslücke behoben. Diese Sicherheitslücke, die in Versionen bis einschließlich 6.15.21 vorhanden ist, stellt ein Risiko für unbefugte Datenänderungen auf WordPress-Sites dar.
Details zur Sicherheitslücke: Fehlende Fähigkeitsprüfung
Die entdeckte Schwachstelle wird als fehlende Fähigkeitsprüfung innerhalb der Funktion „seedprod_lite_new_lpage“ bezeichnet.
Fähigkeiten sind bestimmte Aktionen, die Benutzer oder Rollen ausführen dürfen. Eine Fähigkeitsprüfung ist eine wichtige Sicherheitsfunktion in WordPress zur Verwaltung von Berechtigungen und Zugriffskontrollen. Sie bestimmen, ob ein Benutzer die Berechtigung hat, eine bestimmte Aktion auszuführen.
Es ähnelt einer Rollenprüfung, da bei einer Rollenprüfung die Rolle des Benutzers (z. B. Administrator, Herausgeber usw.) überprüft wird, während bei einer Fähigkeitsprüfung überprüft wird, ob der Benutzer über bestimmte Berechtigungen verfügt. Eine Fähigkeitsprüfung bietet im Vergleich zu einer Rollenprüfung eine detailliertere Kontrolle über Berechtigungen.
Die fehlende Fähigkeitsprüfung ermöglicht es nicht authentifizierten Angreifern, möglicherweise den Inhalt verschiedener Seiten zu ändern, die mit dem Plugin erstellt wurden, z. B. Coming-Soon- oder Wartungsseiten. Das Fehlen dieser Sicherheitsfunktion setzt Websites dem Risiko von Datenmanipulationen aus.
Unbefugte Datenänderung
Die unbefugte Änderung von Daten stellt ein ernstes Sicherheitsrisiko dar. Es entsteht durch einen Fehler, bei dem unbefugte Personen Daten ändern können, was zu potenziellen Exploits führen kann. Es wird dringend empfohlen, diese Art von Sicherheitslücke im Website Builder-Plugin zu beheben.
Schweregrad und Auswirkung: Hochriskante Exposition
Die Sicherheitslücke wird mit 8,2 auf einer Skala von 1 bis 10 bewertet, wobei der Schweregrad gemäß dem Common Vulnerability Scoring System (CVSS) als „Hoch“ eingestuft wird. Die hohe Bewertung gibt an, wie schwerwiegend die potenziellen Auswirkungen sind.
Diese Sicherheitslücke ist so neu, dass es derzeit keinen Eintrag in der National Vulnerability Database für die zugewiesene CVE-Nummer CVE-2024-1072 gibt.
Die Sicherheitsforscher von Wordfence WordPress betonten jedoch die Schwere der Sicherheitslücke im Website Builder von SeedProd:
„Dadurch ist es nicht authentifizierten Angreifern möglich, die Inhalte von Coming-Soon-Seiten, Wartungsseiten, Login- und 404-Seiten zu ändern, die mit dem Plugin eingerichtet wurden.“
Empfehlung für Benutzer des Website Builder-Plugins
Der Herausgeber des Website Builders von SeedProd hat reagiert und eine aktualisierte Version, 6.15.22, veröffentlicht, die diese Schwachstelle behebt. Das Update enthält eine Sicherheitseinschränkung, um das Risiko zu mindern, und Benutzern des Plugins wird dringend empfohlen, sofort ein Update durchzuführen, um ihre Website vor Angriffen zu schützen.
Bezüglich der Nonce erklärt WordPress, was es ist:
Eine Nonce ist eine „einmal verwendete Zahl“, die dabei hilft, URLs und Formulare vor bestimmten Arten von Missbrauch, ob böswilliger oder anderer Art, zu schützen.
… Sie schützen vor verschiedenen Arten von Angriffen …“
Lesen Sie die Ankündigung von Wordfence:
Website Builder von SeedProd – Theme Builder, Landing Page Builder, Coming Soon Page, Wartungsmodus <= 6.15.21 – Fehlende Autorisierung über seedsprod_lite_new_lpag
Lesen Sie das offizielle SeedProd Changelog
Ausgewähltes Bild von Shutterstock/Nikulina Tatiana