Fehlende Autorisierungsschwachstelle …ermöglicht es einem entfernt authentifizierten Angreifer, die Informationen in der Datenbank ohne die Zugriffsberechtigung einzusehen. Diese Art von Schwachstelle ermöglicht es einem Angreifer, Zugriff auf die Website auf Ebenen zu erlangen, die normalerweise Benutzern mit Administratorrechten vorbehalten sind.
Advanced Custom Fields (ACF) WordPress-Plugin
Das ACF-WordPress-Plugin ist ein beliebtes Entwicklungstool, mit dem Entwickler benutzerdefinierte Felder zum Bearbeitungsbildschirm hinzufügen und die Abschnitte für Benutzer, Beiträge, Medien und andere Bereiche anpassen können.
Das ACF-Tool ermöglicht es Entwicklern, WordPress-Themes auf vielfältige Weise zu erweitern, was erklärt, warum es Millionen aktiver Installationen gibt.
Schwachstelle bezüglich fehlender Autorisierung
Eine fehlende Autorisierungsschwachstelle tritt auf, wenn eine Software wie ein WordPress-Plugin beim Zugriff auf bestimmte Informationen nicht die Autorisierung eines Benutzers überprüft.
Diese Art von Schwachstelle kann dazu führen, dass vertrauliche Informationen offengelegt und Angriffe zur Ausführung von Remotecode ausgeführt werden.
Remote-authentifizierter Angreifer
Diese spezielle Schwachstelle nutzt eine fehlende Autorisierungsprüfung für Benutzer aus, die über ein gewisses Maß an Authentifizierung verfügen.
Das bedeutet, dass Benutzer mit mindestens der Authentifizierungsebene „Editor“, „Autor“ oder „Mitwirkender“ auf Administratorrechte zugreifen können, um Datenbankinformationen anzuzeigen.
Nach den aktuellsten Informationen des Japan Computer Emergency Response Team Coordination Center:
„Das von Delicious Brains bereitgestellte WordPress-Plugin „Advanced Custom Fields“ enthält eine fehlende Autorisierungsschwachstelle…
Benutzer dieses Produkts (Editor, Author, Contributor) können die Informationen in der Datenbank ohne Zugriffsberechtigung anzeigen.“
Die United States National Vulnerability Database hat ihr eine CVE-Referenznummer, CVE-2022-23183, zugewiesen
ACF-Änderungsprotokoll
Ein Änderungsprotokoll ist ein Protokoll, in dem alle Änderungen in jeder Version einer Software aufgeführt sind.
Es ist schwer zu sagen, welche der im Änderungsprotokoll aufgeführten Änderungen mit der Behebung der Schwachstelle zusammenhängen, da das ACF-Änderungsprotokoll nicht ausdrücklich sagt, dass es sich um eine Sicherheitskorrektur handelt, sondern sie nur als „Fix.“
Das Änderungsprotokoll für das ACF-WordPress-Plugin vermerkt nicht explizit, dass ein Sicherheitsproblem behoben wurde.
Ein Teil des ACF-Änderungsprotokolls besagt einfach:
„Fix – ACF validiert jetzt den Zugriff auf Optionsseiten-Feldwerte beim Zugriff über Feldschlüssel auf die gleiche Weise wie Feldnamen. Mehr sehen
Fix – Die REST-API validiert jetzt korrekt Felder für POST-Aktualisierungsanforderungen.
Der Link „Mehr anzeigen“ führt zu einer Erklärung auf der ACF-Website, in der es heißt:
„…Aufrufe von get_field() oder the_field() bei Nicht-ACF-WordPress-Optionen geben ebenfalls null zurück. Wenn Sie diese Funktionen jedoch verwenden, um ein Post-, Benutzer- oder Begriffsmeta abzurufen, wird der Wert zurückgegeben, unabhängig davon, ob das Meta ein ACF-Feld ist.
…In ACF 5.12.1 gelten diese Einschränkungen jetzt auch korrekt, wenn ein Feldschlüssel verwendet wird, um auf einen Optionswert zuzugreifen, genauso wie bei der Verwendung des Feldnamens.“
„Verwenden von ACF-Funktionen zum Abrufen von Daten von außerhalb von ACF.“
Sicherheitslücke in erweiterten benutzerdefinierten Feldern wurde gepatcht
Die ACF-Schwachstelle betrifft alle Versionen vor Advanced Custom Fields 5.12.1 und Advanced Custom Fields Pro 5.12.1.
Das Japan Computer Emergency Response Team Coordination Center empfiehlt allen Benutzern des Plugins, sofort auf die ACF-Versionen 5.12.1 zu aktualisieren.