WordPress kündigte das 6.5.2 Maintenance and Security Release-Update an, das eine Schwachstelle bei Cross-Site-Scripting im Store behebt und über ein Dutzend Fehler im Kern und im Blockeditor behebt.
Die gleiche Schwachstelle betrifft sowohl den WordPress-Kern als auch das Gutenberg-Plugin.
Cross-Site-Scripting (XSS)
In WordPress wurde eine XSS-Schwachstelle entdeckt, die es einem Angreifer ermöglichen könnte, Skripte in eine Website einzuschleusen, die dann die Besucher dieser Seiten angreifen.
Es gibt drei Arten von XSS-Schwachstellen, aber die am häufigsten in WordPress-Plugins, Themes und WordPress selbst entdeckten Schwachstellen sind reflektiertes XSS und gespeichertes XSS.
Reflected XSS erfordert, dass ein Opfer auf einen Link klickt, ein zusätzlicher Schritt, der die Durchführung dieser Art von Angriff erschwert.
Ein gespeichertes XSS ist die besorgniserregendere Variante, da es eine Schwachstelle ausnutzt, die es dem Angreifer ermöglicht, ein Skript in die anfällige Site hochzuladen, das dann Angriffe gegen Site-Besucher starten kann. Bei der in WordPress entdeckten Schwachstelle handelt es sich um ein gespeichertes XSS.
Die Bedrohung selbst wird bis zu einem gewissen Grad gemindert, da es sich um ein authentifiziertes gespeichertes XSS handelt. Das bedeutet, dass der Angreifer zunächst mindestens Berechtigungen auf Mitwirkender-Ebene erwerben muss, um den Website-Fehler auszunutzen, der die Sicherheitslücke ermöglicht.
Diese Schwachstelle wird als mittlere Bedrohung eingestuft und erhält einen CVSS-Wert (Common Vulnerability Scoring System) von 6,4 auf einer Skala von 1 bis 10.
Wordfence beschreibt die Sicherheitslücke:
„WordPress Core ist in verschiedenen Versionen bis 6.5.2 anfällig für Stored Cross-Site Scripting über Benutzeranzeigenamen im Avatar-Block, da die Ausgabe des Anzeigenamens unzureichend ist. Dies ermöglicht es authentifizierten Angreifern mit Zugriff auf Mitwirkender-Ebene und höher, beliebige Webskripte in Seiten einzuschleusen, die immer dann ausgeführt werden, wenn ein Benutzer auf eine eingeschleuste Seite zugreift.“
WordPress.org empfiehlt eine sofortige Aktualisierung
In der offiziellen WordPress-Ankündigung wurde Benutzern empfohlen, ihre Installationen zu aktualisieren, und schrieb:
„Da es sich um eine Sicherheitsversion handelt, wird empfohlen, dass Sie Ihre Websites sofort aktualisieren. Backports sind auch für andere große WordPress-Versionen, 6.1 und höher, verfügbar.“
Lesen Sie die Wordfence-Hinweise:
WordPress Core < 6.5.2 – Authentifiziertes (Mitwirkender+) gespeichertes Cross-Site-Scripting über Avatar-Block
Gutenberg 12.9.0 – 18.0.0 – Authentifiziertes (Mitwirkender+) gespeichertes Cross-Site-Scripting über Avatar-Block
Lesen Sie die offizielle Ankündigung von WordPress.org:
WordPress 6.5.2 Wartungs- und Sicherheitsversion
Ausgewähltes Bild von Shutterstock/ivan_kislitsin