Sicherheitsforscher haben eine Empfehlung zum beliebten WordPress-Plugin „Essential Addons For Elementor“ veröffentlicht, bei dem festgestellt wurde, dass es eine Sicherheitslücke im Stored Cross-Site Scripting enthält, die über 2 Millionen Websites betrifft.
Verantwortlich für die Schwachstellen sind Fehler in zwei verschiedenen Widgets, die Teil des Plugins sind.
Zwei Widgets, die zu Sicherheitslücken führen
- Countdown-Widget
- Woo Produktkarussell-Widget
Wichtige Add-ons für Elementor
Essential Addons ist ein Plugin, das den beliebten WordPress-Seitenersteller Elementor erweitert. Elementor erleichtert jedem das Erstellen von Websites und die Essential Addons ermöglichen das Hinzufügen noch mehr Website-Funktionen und Widgets.
Die Sicherheitslücke
In der Empfehlung von Wordfence wurde bekannt gegeben, dass das Plugin eine Stored Cross-Site Scripting (XSS)-Schwachstelle enthält, die es einem Angreifer ermöglicht, ein bösartiges Skript hochzuladen und die Browser von Website-Besuchern anzugreifen, was wiederum zum Diebstahl von Sitzungscookies führen kann, um die Kontrolle über die Website zu übernehmen .
XSS-Schwachstellen gehören zu den häufigsten und entstehen dadurch, dass Felder, die Eingaben wie Text oder Bilder akzeptieren, nicht ordnungsgemäß bereinigt (Bildschirm oder Filter) werden.
Plugins „bereinigen“ normalerweise Eingaben, was bedeutet, dass sie unerwünschte Eingaben wie Skripte herausfiltern.
Ein weiterer Fehler, der zu einer XSS-Schwachstelle führt, ist das Versäumnis, die Ausgabe zu „escapen“, was bedeutet, dass jede Ausgabe, die unerwünschte Daten enthält, entfernt wird, um zu verhindern, dass sie einen Browser erreicht.
Wordfence nennt diese beiden Mängel als Faktoren, die zu den Schwachstellen geführt haben.
Sie warnten vor dem Countdown-Widget:
„Das Plugin „Essential Addons for Elementor – Best Elementor Templates, Widgets, Kits & WooCommerce Builders“ für WordPress ist in allen Versionen bis einschließlich 5.9.11 aufgrund unzureichender Eingaben anfällig für Stored Cross-Site Scripting über den Nachrichtenparameter des Countdown-Widgets Desinfektion und Ausgabeentweichen.
Dies ermöglicht es authentifizierten Angreifern mit Mitwirkender-Zugriff oder höher, beliebige Webskripte in Seiten einzuschleusen, die immer dann ausgeführt werden, wenn ein Benutzer auf eine eingeschleuste Seite zugreift.“
Die Warnung zum Woo Product Carousel Widget:
„Das Essential Addons for Elementor …-Plugin für WordPress ist in allen Versionen bis einschließlich 5.9.10 anfällig für Stored Cross-Site Scripting über den Ausrichtungsparameter im Woo Product Carousel-Widget, da die Eingabebereinigung und Ausgabe-Escape-Funktion unzureichend sind.“ „
Siehe auch:
Authentifizierte Angreifer
Mit dem Ausdruck „authentifizierte Angreifer“ ist gemeint, dass ein Hacker zunächst Website-Anmeldeinformationen erwerben muss, um den Angriff starten zu können. Die Essential Addons for Elementor-Schwachstelle erfordert, dass ein Angreifer über Zugriff auf Mitwirkender-Ebene oder höher verfügt.
Mittlere Bedrohung – Aktualisierung empfohlen
Die Schwachstelle wird als mittlere Bedrohung eingestuft und auf einer Skala von 1 bis 10 mit 6,4 bewertet, wobei 10 die kritischste Stufe der Schwachstelle darstellt.
Plugin-Benutzern mit Version 5.9.11 oder niedriger wird empfohlen, auf die neueste Version des Plugins zu aktualisieren, derzeit Version 5.9.13.
Lesen Sie die Wordfence-Sicherheitsbulletins:
Wesentliche Add-ons für Elementor – Beste Elementor-Vorlagen, Widgets, Kits und WooCommerce-Builder <= 5.9.11 – Authentifiziertes (Mitwirkender+) gespeichertes Cross-Site-Scripting
Wesentliche Add-ons für Elementor – Beste Elementor-Vorlagen, Widgets, Kits und WooCommerce-Builder <= 5.9.11 – Authentifiziertes (Mitwirkender+) gespeichertes Cross-Site-Scripting
Ausgewähltes Bild von Shutterstock/Aleksandrs Sokolovs