Die United States National Vulnerability Database hat einen Hinweis zu einer XSS-Schwachstelle veröffentlicht, die den beliebten Metform Elementor Contact Form Builder betrifft, der über 200.000 aktive Installationen der Schwachstelle aussetzt.
Gespeichertes Cross-Site-Scripting (XSS)
Eine gespeicherte XSS-Schwachstelle ist eine Schwachstelle, bei der eine Website eine Eingabe nicht ordnungsgemäß sichert, z. B. ein Übermittlungsformular, das es einem Hacker ermöglicht, ein bösartiges Skript auf den Server hochzuladen.
Das Skript wird dann von einem Website-Besucher-Browser heruntergeladen und ausgeführt, wodurch der Hacker die Cookies des Besuchers stehlen oder seine Website-Berechtigungen erlangen kann, was dann zu einer Website-Übernahme führen kann.
Das gemeinnützige Open Worldwide Application Security Project (OWASP) beschreibt die Cross Site Scripting-Schwachstelle:
„Ein Angreifer kann XSS verwenden, um ein bösartiges Skript an einen ahnungslosen Benutzer zu senden.
Der Browser des Endbenutzers kann nicht wissen, dass das Skript nicht vertrauenswürdig ist, und führt das Skript aus.
Da es davon ausgeht, dass das Skript von einer vertrauenswürdigen Quelle stammt, kann das bösartige Skript auf alle Cookies, Sitzungstoken oder andere vertrauliche Informationen zugreifen, die vom Browser gespeichert und mit dieser Website verwendet werden.“
Es gibt verschiedene Arten von XSS-Angriffen.
Die Schwachstelle, die das Kontaktformular-Plugin von Elementor betrifft, heißt a gelagert XSS, da das schädliche Skript auf die Website-Server selbst hochgeladen und dort gespeichert wird.
Was diese Schwachstelle besonders besorgniserregend macht, ist, dass es sich um eine nicht authentifizierte Version handelt, was bedeutet, dass der Angreifer keinerlei Website-Berechtigung benötigt, um den Angriff zu starten.
Dieser speziellen Schwachstelle wurde eine Bedrohungsbewertung von 7,2 auf einer Skala von 1 bis 10 zugewiesen, wobei Stufe 10 die höchste Stufe darstellt.
Was die Sicherheitsanfälligkeit verursacht hat
Die Schwachstelle wurde durch ein Codierungsproblem im Plugin verursacht, das unerwünschte Eingaben über das Kontaktübermittlungsformular nicht prüfen und blockieren konnte.
Dieser Vorgang zum Prüfen und Blockieren unerwünschter Uploads wird als Bereinigung bezeichnet.
Ein zweites Problem war ein Versäumnis des Plugins, die vom Plugin ausgegebenen Daten zu sichern. Dies wird als Escape-Ausgabe bezeichnet.
WordPress veröffentlicht eine Entwicklerseite zum Escape-Daten, die erklärt:
„Das Escaping der Ausgabe ist der Prozess, Ausgabedaten zu sichern, indem unerwünschte Daten wie fehlerhafte HTML- oder Skript-Tags entfernt werden. Dieser Prozess trägt dazu bei, Ihre Daten zu sichern, bevor sie für den Endbenutzer gerendert werden.“
Das Versäumnis, Eingaben zu bereinigen, um Ausgaben zu umgehen, sind die beiden Hauptprobleme, die zu der Sicherheitsanfälligkeit geführt haben.
Die Warnung der National Vulnerability Database erklärt:
„Das Metform Elementor Contact Form Builder-Plugin für WordPress ist anfällig für Stored Cross-Site Scripting über Textbereiche auf Formularen in Versionen bis einschließlich 3.1.2 aufgrund unzureichender Eingabebereinigung und Ausgabe-Escape.
Dies ermöglicht es nicht authentifizierten Angreifern, beliebige Webskripte in Seiten einzuschleusen, die ausgeführt werden, wenn ein Benutzer auf eine eingeschleuste Seite zugreift, bei der es sich um die Übermittlungsseite handelt.“
Metform Elementor Plugin ist gepatcht
Die Herausgeber des Metform Elementor Contact Form Builder haben im Laufe mehrerer Versionen Patches herausgegeben, um die Schwachstelle zu beheben.
Dies sind die aktualisierten Versionen des Plugins und ihre Korrekturen:
- Version 3.2.0
Verbessert: Sicherheit und Desinfektion - Version 3.2.2
Fest: Sicherheitsberechtigungsproblem für REST-API-Endpunkt - Version 3.2.3 (gepatcht am 03.06.2023)
Fest: Escaping-Problem im Signaturfeld.
Fest: Formularübermittlung für den Zustand nicht angemeldeter Benutzer.
WordPress-Publisher, die den Metform Elementor Contact Form Builder verwenden, sollten erwägen, ihr Plugin auf Version 3.2.3 zu aktualisieren, die vollständig gepatchte Version.
Lesen Sie den Ratgeber auf der Website der National Vulnerability Database:
CVE-2023-0084-Detail
Lesen Sie das offizielle Änderungsprotokoll des Plugins, das die Patches dokumentiert:
Metform Elementor Contact Form Builder Änderungsprotokoll
Ausgewähltes Bild von Shutterstock/Asier Romero