Sicherheitsforscher haben eine Warnung zu sechs einzigartigen XSS-Schwachstellen herausgegeben, die im Elementor Website Builder und seiner Pro-Version entdeckt wurden und es Angreifern ermöglichen könnten, bösartige Skripte einzuschleusen.
Elementor-Website-Builder
Elementor ist eine führende Website-Builder-Plattform mit über 5 Millionen aktiven Installationen weltweit, wobei das offizielle WordPress-Depot angibt, dass es über 16 Millionen Websites weltweit unterstützt. Die Drag-and-Drop-Oberfläche ermöglicht es jedem, schnell professionelle Websites zu erstellen, während die Pro-Version die Plattform um zusätzliche Widgets und erweiterte E-Commerce-Funktionen erweitert.
Diese Popularität hat Elementor auch zu einem beliebten Ziel für Hacker gemacht, weshalb diese sechs Schwachstellen besonders besorgniserregend sind.
Sechs XSS-Schwachstellen
Der Elementor Website Builder und die Pro-Version enthalten sechs verschiedene Cross-Site Scripting (XSS)-Schwachstellen. Fünf der Schwachstellen sind auf unzureichende Eingabebereinigung und Ausgabe-Escape zurückzuführen, während eine davon auf unzureichende Eingabebereinigung zurückzuführen ist.
Die Eingabebereinigung ist eine standardmäßige Codierungspraxis, die zum Sichern von Bereichen eines Plugins verwendet wird, die es Benutzern ermöglichen, Daten in ein Formularfeld einzugeben oder Medien hochzuladen. Der Prozess der Bereinigung blockiert alle Eingaben, die nicht den Erwartungen entsprechen. Eine ordnungsgemäß gesicherte Eingabe für Textdaten sollte Skripte oder HTML blockieren, was bei der Eingabebereinigung der Fall ist.
Beim Output-Escapeing handelt es sich um den Prozess, bei dem sichergestellt wird, was das Plugin an den Browser ausgibt, um zu verhindern, dass der Browser eines Website-Besuchers nicht vertrauenswürdigen Skripten ausgesetzt wird.
Das offizielle WordPress-Entwicklerhandbuch empfiehlt die Eingabebereinigung:
„Beim Bereinigen von Eingaben werden Eingabedaten gesichert, bereinigt und gefiltert.“
Es ist wichtig zu beachten, dass alle sechs Sicherheitslücken unterschiedlich sind und überhaupt nichts miteinander zu tun haben und insbesondere auf unzureichende Sicherheit seitens Elementor zurückzuführen sind. Es ist möglich, dass einer davon, CVE-2024-2120, sowohl die kostenlose als auch die Pro-Version betrifft. Ich habe Wordfence zur Klärung dieser Frage kontaktiert und werde diesen Artikel entsprechend aktualisieren, sobald ich eine Antwort erhalten habe.
Liste der sechs Elementor-Schwachstellen
Im Folgenden finden Sie eine Liste der sechs Sicherheitslücken und der von ihnen betroffenen Versionen. Alle sechs Schwachstellen werden als mittlere Sicherheitsbedrohung eingestuft. Die ersten beiden auf der Liste betreffen den Elementor Website Builder und die nächsten vier betreffen die Pro-Version. Die CVE-Nummer ist ein Verweis auf den offiziellen Eintrag in der Common Vulnerabilities and Exposures-Datenbank, der als Referenz für bekannte Schwachstellen dient.
- Elementor Website Builder (CVE-2024-2117)
Betrifft bis einschließlich 3.20.2 – Authentifiziertes DOM-basiertes gespeichertes Cross-Site-Scripting über Path Widget - Elementor Website Builder Pro (und möglicherweise kostenlos) (CVE-2024-2120)
Betrifft bis einschließlich 3.20.1 – Authentifiziertes gespeichertes Cross-Site-Scripting über die Post-Navigation - Elementor Website Builder Pro (CVE-2024-1521)
Betrifft bis einschließlich 3.20.1 – Authentifiziertes gespeichertes Cross-Site-Scripting über SVGZ-Datei-Upload des Formular-Widgets
Diese Sicherheitslücke betrifft nur Server, auf denen NGINX-basierte Server ausgeführt werden. Server, auf denen Apache HTTP Server ausgeführt wird, sind nicht betroffen. - Elementor Website Builder Pro (CVE-2024-2121)
Betrifft bis einschließlich 3.20.1 – Authentifiziertes gespeichertes Cross-Site-Scripting über das Medienkarussell-Widget - Elementor Website Builder Pro (CVE-2024-1364)
Betrifft bis einschließlich 3.20.1 – Authentifiziertes gespeichertes Cross-Site-Scripting über die benutzerdefinierte_ID des Widgets - Elementor Website Builder Pro (CVE-2024-2781)
Betrifft bis einschließlich 3.20.1 – Authentifiziertes DOM-basiertes gespeichertes Cross-Site-Scripting über video_html_tag
Alle sechs Schwachstellen werden als Sicherheitsbedrohungen mittlerer Stufe eingestuft und erfordern zur Ausführung die Berechtigungsstufe „Mitwirkender“.
Änderungsprotokoll zum Elementor Website Builder
Laut Wordfence gibt es zwei Schwachstellen, die die kostenlose Version von Elementor betreffen. Aber das Changelog zeigt, dass es nur einen Fix gibt.
Die Probleme, die die kostenlose Version betreffen, liegen im Pfad-Widget und im Post-Navigations-Widget.
Das Changelog für die kostenlose Version listet jedoch nur einen Patch für das Text Path Widget und nicht für das Post Navigation Widget auf:
„Sicherheitsfix: Verbesserte Durchsetzung der Codesicherheit im Textpfad-Widget“
Das Post-Navigations-Widget ist eine Navigationsfunktion, die es Website-Besuchern ermöglicht, zum vorherigen oder nächsten Beitrag in einer Reihe von Beiträgen zu navigieren.
Obwohl es im Änderungsprotokoll fehlt, ist es im Änderungsprotokoll von Elementor Pro enthalten, was zeigt, dass es in dieser Version behoben wurde:
- „Sicherheitsfix: Verbesserte Durchsetzung der Codesicherheit im Medienkarussell-Widget
- Sicherheitsupdate: Verbesserte Durchsetzung der Codesicherheit im Formular-Widget
- Sicherheitsupdate: Verbesserte Durchsetzung der Codesicherheit im Post-Navigations-Widget
- Sicherheitsupdate: Verbesserte Durchsetzung der Codesicherheit im Galerie-Widget
- Sicherheitsfix: Verbesserte Code-Sicherheitsdurchsetzung im Video-Playlist-Widget“
Bei dem fehlenden Eintrag im kostenlosen Changelog handelt es sich möglicherweise um einen Druckfehler von Wordfence, da im offiziellen Wordfence-Advisory für CVE-2024-2120 ein Eintrag für „software slug“ als elementor-pro aufgeführt ist.
Empfohlene Vorgehensweise
Benutzern beider Versionen des Elementor Website Builders wird empfohlen, ihr Plugin auf die neueste Version zu aktualisieren. Obwohl ein Angreifer zum Ausnutzen der Schwachstelle Berechtigungsnachweise auf Mitwirkender-Ebene erwerben muss, liegt dies immer noch im Bereich der Möglichkeiten, insbesondere wenn die Mitwirkenden nicht über sichere Passwörter verfügen.
Lesen Sie die offiziellen Wordfence-Hinweise:
Elementor Website Builder – Mehr als nur ein Page Builder <= 3.20.2 – Authentifiziertes (Mitwirkender+) DOM-basiertes gespeichertes Cross-Site-Scripting über Path Widget CVE-2024-2117
Elementor Website Builder – Mehr als nur ein Page Builder <= 3.20.1 – Authentifiziertes (Mitwirkender+) gespeichertes Cross-Site-Scripting über Post Navigation CVE-2024-2120
Elementor Website Builder Pro <= 3.20.1 – Authentifiziertes (Mitwirkender+) gespeichertes Cross-Site-Scripting über Formular-Widget SVGZ-Datei-Upload CVE-2024-1521
Elementor Website Builder Pro <= 3.20.1 – Authentifiziertes (Mitwirkender+) gespeichertes Cross-Site-Scripting CVE-2024-2121
Elementor Website Builder Pro <= 3.20.1 – Authentifiziertes (Mitwirkender+) gespeichertes Cross-Site-Scripting über die benutzerdefinierte_ID CVE-2024-1364 des Widgets
Elementor Website Builder Pro <= 3.20.1 – Authentifiziertes (Mitwirkender+) DOM-basiertes gespeichertes Cross-Site-Scripting über video_html_tag CVE-2024-2781
Ausgewähltes Bild von Shutterstock/hugolacasse