Es wurde festgestellt, dass Smash Balloon Social Post Feed, ein WordPress-Plugin, eine Schwachstelle aufweist, die es einem Angreifer ermöglicht, bösartige Skripte hochzuladen. Sicherheitsforscher von Jetpack entdeckten die Schwachstelle und benachrichtigten die Plugin-Herausgeber, die sie gepatcht und eine behobene Version, Version 4.0.1, veröffentlicht haben. Versionen davor sind anfällig.
Smash Balloon Social Post Feed
Smash Balloon Social Post Feed WordPress-Plugin nimmt Facebook-Feeds und wandelt sie in Beiträge auf einer WordPress-Site um.
Die kostenlose Version des Plugins dient dazu, Facebook-Beiträge so darzustellen, dass sie dem Look & Feel der Seite entsprechen, auf der die Facebook-Inhalte erneut veröffentlicht werden. Die kostenpflichtige „Pro“-Version veröffentlicht auch Bilder, Videos und Kommentare neu.
Werbung
Weiter unten lesen
Gespeichertes Cross-Site-Scripting über willkürliche Einstellungsaktualisierung
Ein Stored Cross-Site Scripting-Exploit (Stored XSS) ist eine Form der Cross-Site-Scripting-Schwachstelle, die es einem böswilligen Angreifer ermöglicht, schädliche Skripte hochzuladen und dauerhaft auf dem Server selbst zu speichern.
Das gemeinnützige Open Web Application Security Project (OWASP) beschreibt Stored XSS-Schwachstellen:
„Gespeicherte Angriffe sind solche, bei denen das injizierte Skript dauerhaft auf den Zielservern gespeichert wird, beispielsweise in einer Datenbank….
Das Opfer ruft dann das bösartige Skript vom Server ab, wenn es die gespeicherten Informationen anfordert.“
Berechtigungs- und Nonce-Checks fehlen
Die von Jetpack veröffentlichte Sicherheitswarnung gab bekannt, dass das WordPress-Plugin Smash Balloon Social Post Feed zwei Sicherheitsprobleme aufwies, die dazu führten, dass es zu einem Sicherheitsproblem wurde. Berechtigungs- und Nonce-Prüfungen fehlten.
Werbung
Weiter unten lesen
XSS-Angriffe können normalerweise überall dort auftreten, wo es eine Möglichkeit gibt, etwas auf eine WordPress-Site hochzuladen oder dort einzugeben. Dies kann über ein Formular oder in Kommentaren erfolgen, wo immer ein Benutzer Daten eingeben kann.
Ein WordPress-Plugin soll die Site durch Überprüfungen abschirmen, darunter eine Überprüfung, welche Privilegien ein Benutzer hat (Abonnent, Redakteur, Administrator).
Ohne eine ordnungsgemäße Berechtigungsprüfung kann ein Benutzer auf der niedrigsten Ebene, wie ein Abonnent, Aktionen ausführen, die normalerweise die höchsten Zugriffsebenen erfordern, wie beispielsweise Berechtigungen auf Administratorebene.
Ein Nonce ist ein Sicherheitstoken zur einmaligen Verwendung, das Eingaben vor Angriffen schützen soll.
Die WordPress Nonce-Dokumentation erklärt den Wert von Nonces:
„Wenn Ihr Theme es Nutzern erlaubt, Daten zu übermitteln; sei es im Admin oder im Frontend; nonces kann verwendet werden, um zu überprüfen, ob ein Benutzer beabsichtigt, eine Aktion auszuführen, und ist entscheidend für den Schutz vor Cross-Site Request Forgery (CSRF).
Ein Beispiel ist eine WordPress-Site, auf der autorisierte Benutzer Videos hochladen dürfen.“
Jetpack hat eine Schwachstelle im Smash Balloon-Plugin identifiziert, die die Privilegien- und Nonce-Prüfungen nicht durchführte, wodurch die Site für einen Angriff geöffnet wurde.
Jetpack beschrieb, wie die Sicherheitsanfälligkeit Websites aufgedeckt hat:
„Die AJAX-Aktion wp_ajax_cff_save_settings, die für die Aktualisierung der inneren Einstellungen des Plugins verantwortlich ist, hat zuvor keine Berechtigungs- oder Nonce-Prüfungen durchgeführt. Dies ermöglichte es allen eingeloggten Benutzern, diese Aktion aufzurufen und alle Einstellungen des Plugins zu aktualisieren.
Leider ermöglicht es eine dieser Einstellungen, customJS, Administratoren, benutzerdefiniertes JavaScript in den Beiträgen und Seiten ihrer Website zu speichern. Ein böswilliger Akteur hätte nur diese Einstellung aktualisieren müssen, um bösartige Skripte auf der Website zu speichern.“
Werbung
Weiter unten lesen
Das Smash Balloon Social Post Feed WordPress-Plugin-Änderungsprotokoll, das aufzeichnet, was jedes Versionsupdate enthält, stellt richtig fest, dass ein Sicherheitsproblem behoben wurde.
Es ist nicht nur dafür verantwortlich, Schwachstellen rechtzeitig zu beheben, was Smash Balloon getan hat, sondern es ist auch dafür verantwortlich, sie im Changelog zu vermerken, was auch Smash Balloon getan hat.
Im Changelog steht:
„Fix: Verbesserte Sicherheitshärtung.“
Screenshot von Smash Balloon Social Post Feed Changelog
Empfohlene Maßnahme
Der Smash Balloon Social Post Feed wurde kürzlich gepatcht, um den Stored-XSS-Angriff zu beheben, der das Hochladen bösartiger Skripts ermöglicht.
Werbung
Weiter unten lesen
Jetpack empfiehlt, den Smash Balloon Social Post Feed auf die neueste Version zu aktualisieren, die zum jetzigen Zeitpunkt vorliegt, nämlich Version 4.0.1. Andernfalls kann eine WordPress-Installation unsicher werden.
Zitate
Jetpack-Sicherheitshinweise
Sicherheitsprobleme im Smash Balloon Social Post Feed-Plugin gepatcht