Bei einem beliebten WordPress-Anti-Malware-Plug-in wurde eine reflektierte Cross-Site-Scripting-Schwachstelle entdeckt. Dies ist eine Art von Schwachstelle, die es einem Angreifer ermöglichen kann, einen Benutzer der betroffenen Website auf Administratorebene zu kompromittieren.
Betroffenes WordPress-Plugin
Das Plugin, das die Schwachstelle enthält, ist Anti-Malware Security and Brute-Force Firewall, das von über 200.000 Websites verwendet wird.
Anti-Malware Security and Brute-Force Firewall ist ein Plugin, das eine Website als Firewall (um eingehende Bedrohungen zu blockieren) und als Sicherheitsscanner verteidigt, um nach Sicherheitsbedrohungen in Form von Backdoor-Hacks und Datenbankinjektionen zu suchen.
Eine Premium-Version verteidigt Websites gegen Brute-Force-Angriffe, die versuchen, Passwörter und Benutzernamen zu erraten, und schützt vor DDoS-Angriffen.
Reflected Cross-Site Scripting-Schwachstelle
Es wurde festgestellt, dass dieses Plugin eine Schwachstelle enthält, die es einem Angreifer ermöglicht, einen Reflected Cross-Site Scripting (Reflected XSS)-Angriff zu starten.
Eine reflektierte Cross-Site-Scripting-Schwachstelle in diesem Zusammenhang ist eine, bei der eine WordPress-Website die Eingaben auf der Website nicht ordnungsgemäß einschränkt.
Dieses Versäumnis, das Hochgeladene einzuschränken (desinfizieren), ist im Wesentlichen so, als würde man die Haustür der Website unverschlossen lassen und praktisch alles hochladen lassen.
Ein Hacker nutzt diese Schwachstelle aus, indem er ein Skript hochlädt und es von der Website zurückspiegeln lässt.
Wenn jemand mit Berechtigungen auf Administratorebene eine vom Angreifer erstellte kompromittierte URL besucht, wird das Skript mit den im Browser des Opfers gespeicherten Berechtigungen auf Administratorebene aktiviert.
Der WPScan-Bericht zur Anti-Malware-Sicherheit und Brute-Force-Firewall beschrieb die Schwachstelle:
„Das Plugin bereinigt und maskiert den QUERY_STRING nicht, bevor er wieder auf einer Admin-Seite ausgegeben wird, was zu einem Reflected Cross-Site Scripting in Browsern führt, die keine Zeichen codieren.“
Die National Vulnerability Database der Regierung der Vereinigten Staaten hat dieser Schwachstelle noch keinen Schweregrad zugeordnet.
Die Schwachstelle in diesem Plugin wird als Reflected XSS-Schwachstelle bezeichnet.
Es gibt andere Arten von XSS-Schwachstellen, aber dies sind drei Haupttypen:
- Gespeicherte Cross-Site-Scripting-Schwachstelle (gespeichertes XSS)
- Blindes Cross-Site-Scripting (Blind XSS)
- Reflektiertes XSS
Bei einem gespeicherten XSS ist eine Blind XSS-Schwachstelle, das schädliche Skript auf der Website selbst gespeichert. Diese gelten im Allgemeinen als höhere Bedrohung, da es einfacher ist, einen Benutzer auf Administratorebene dazu zu bringen, das Skript auszulösen. Aber das sind nicht die Arten, die im Plugin entdeckt wurden.
In einem reflektierten XSS, das im Plugin entdeckt wurde, muss eine Person mit Anmeldeinformationen auf Administratorebene dazu verleitet werden, auf einen Link (z. B. aus einer E-Mail) zu klicken, der dann die bösartige Nutzlast von der Website widerspiegelt.
Das gemeinnützige Open Web Application Security Project (OWASP) beschreibt ein reflektiertes XSS wie folgt:
„Reflektierte Angriffe sind solche, bei denen das injizierte Skript vom Webserver reflektiert wird, z. B. in einer Fehlermeldung, einem Suchergebnis oder einer anderen Antwort, die einige oder alle Eingaben enthält, die als Teil der Anfrage an den Server gesendet werden.
Reflektierte Angriffe werden den Opfern über einen anderen Weg zugestellt, z. B. in einer E-Mail-Nachricht oder auf einer anderen Website.“
Update auf Version 4.20.96 empfohlen
Es wird im Allgemeinen empfohlen, eine Sicherungskopie Ihrer WordPress-Dateien zu erstellen, bevor Sie ein Plugin oder Design aktualisieren.
Version 4.20.96 des WordPress-Plugins Anti-Malware Security and Brute-Force Firewall enthält einen Fix für die Schwachstelle.
Benutzern des Plugins wird empfohlen, ihr Plugin auf Version 4.20.96 zu aktualisieren.
Zitate
Lesen Sie die Details der United States Vulnerability Database
CVE-2022-0953-Detail
Lesen Sie den WPScan-Bericht über die Schwachstelle
Anti-Malware-Sicherheit und Brute-Force-Firewall < 4.20.96 – Reflected Cross-Site Scripting
Lesen Sie das offizielle Änderungsprotokoll, das die korrigierte Version dokumentiert
Anti-Malware-Sicherheit und Brute-Force-Firewall-Änderungsprotokoll