Das SiteOrigin Widgets Bundle WordPress-Plugin mit über 600.000 Installationen hat eine authentifizierte gespeicherte Cross-Site-Scripting-Schwachstelle (XSS) gepatcht, die es Angreifern ermöglichen könnte, beliebige Dateien hochzuladen und Website-Besucher bösartigen Skripten auszusetzen.
SiteOrigin Widgets Bundle-Plugin
Das SiteOrigins Widgets-Plugin mit über 600.000 aktiven Installationen bietet eine Möglichkeit, auf einfache Weise eine Vielzahl von Widget-Funktionen wie Schieberegler, Karussells, Karten hinzuzufügen, die Art und Weise zu ändern, wie Blog-Beiträge angezeigt werden, und andere nützliche Webseitenelemente.
Gespeicherte Cross-Site-Scripting-Schwachstelle
Bei einer Cross-Site Scripting (XSS)-Schwachstelle handelt es sich um eine Schwachstelle, die es einem Hacker ermöglicht, bösartige Skripte einzuschleusen (hochzuladen). In WordPress-Plugins entstehen solche Schwachstellen durch Fehler bei der nicht ordnungsgemäßen Bereinigung eingegebener Daten (Filterung nach nicht vertrauenswürdigen Daten) und auch durch unsachgemäße Sicherung von Ausgabedaten (sogenannte „escaping data“).
Diese spezielle XSS-Schwachstelle wird als Stored XSS bezeichnet, da der Angreifer den Schadcode in den Server einschleusen kann. Nach Angaben des gemeinnützigen Open Worldwide Application Security Project (OWASP) ist die Möglichkeit, einen Angriff direkt von der Website aus zu starten, besonders besorgniserregend.
OWASP beschreibt die gespeicherte XSS-Bedrohung:
„Diese Art von Exploit, bekannt als Stored XSS, ist besonders heimtückisch, da die durch den Datenspeicher verursachte Indirektion die Identifizierung der Bedrohung erschwert und die Wahrscheinlichkeit erhöht, dass der Angriff mehrere Benutzer betrifft.“ „
Bei einem XSS-Angriff, bei dem ein Skript erfolgreich eingeschleust wurde, sendet der Angreifer ein schädliches Skript an einen ahnungslosen Website-Besucher. Da der Browser des Benutzers der Website vertraut, führt er die Datei aus. Dies kann es dem Angreifer ermöglichen, auf Cookies, Sitzungstoken und andere sensible Website-Daten zuzugreifen.
Beschreibung der Sicherheitslücke
Die Sicherheitslücke entstand aufgrund von Fehlern bei der Bereinigung von Eingaben und dem Entkommen von Daten.
Auf der WordPress-Entwicklerseite für Sicherheit wird die Sanierung erläutert:
„Beim Bereinigen von Eingaben werden Eingabedaten gesichert, bereinigt und gefiltert. Die Validierung wird der Sanierung vorgezogen, da die Validierung spezifischer ist. Aber wenn „genauer“ nicht möglich ist, ist Desinfektion das nächstbeste Mittel.“
Das Escapen von Daten in einem WordPress-Plugin ist eine Sicherheitsfunktion, die unerwünschte Ausgaben herausfiltert.
Beide Funktionen mussten im SiteOrigins Widgets Bundle-Plugin verbessert werden.
Wordfence beschrieb die Sicherheitslücke:
„Das SiteOrigin Widgets Bundle-Plugin für WordPress ist in allen Versionen bis einschließlich 1.58.3 anfällig für Stored Cross-Site Scripting über den Onclick-Parameter aufgrund unzureichender Eingabebereinigung und Ausgabe-Escapes.“
Diese Schwachstelle erfordert eine Authentifizierung, bevor sie ausgeführt werden kann. Das bedeutet, dass der Angreifer mindestens Zugriff auf Mitwirkender-Ebene benötigt, um einen Angriff starten zu können.
Empfohlene Maßnahme:
Der Schwachstelle wurde ein mittlerer CVSS-Schweregrad mit einer Bewertung von 6,4/10 zugewiesen. Plugin-Benutzer sollten ein Update auf die neueste Version in Betracht ziehen, nämlich Version 1.58.5, obwohl die Schwachstelle in Version 1.58.4 behoben wurde.
Lesen Sie die Schwachstellenwarnung von Wordfence:
SiteOrigin Widgets Bundle <= 1.58.3 – Authentifiziertes (Mitwirkender+) gespeichertes Cross-Site-Scripting