Das WordPress-Plugin WPCode – Insert Headers and Footers + Custom Code Snippets, mit über einer Million Installationen, wurde mit einer Schwachstelle entdeckt, die es dem Angreifer ermöglichen könnte, Dateien auf dem Server zu löschen.
Eine Warnung vor der Schwachstelle wurde in der National Vulnerability Database (NVD) der US-Regierung veröffentlicht.
Kopf- und Fußzeilen-Plugin einfügen
Das WPCode-Plugin (früher bekannt als Insert Headers and Footers by WPBeginner) ist ein beliebtes Plugin, mit dem WordPress-Publisher Code-Snippets zum Kopf- und Fußzeilenbereich hinzufügen können.
Dies ist nützlich für Publisher, die einen Website-Validierungscode der Google Search Console, CSS-Code, strukturierte Daten, sogar AdSense-Code, praktisch alles, was in die Kopf- oder Fußzeile einer Website gehört, hinzufügen müssen.
Schwachstelle Cross-Site Request Forgery (CSRF).
Das Plugin WPCode – Insert Headers and Footers vor Version 2.0.9 enthält eine Schwachstelle, die als CSRF-Schwachstelle (Cross-Site Request Forgery) identifiziert wurde.
Ein CSRF-Angriff beruht darauf, einen auf der WordPress-Site registrierten Endbenutzer dazu zu bringen, auf einen Link zu klicken, der eine unerwünschte Aktion ausführt.
Der Angreifer nutzt im Grunde die Anmeldeinformationen des registrierten Benutzers, um Aktionen auf der Website auszuführen, auf der der Benutzer registriert ist.
Wenn ein angemeldeter WordPress-Benutzer auf einen Link klickt, der eine böswillige Anfrage enthält, ist die Website verpflichtet, die Anfrage auszuführen, da sie einen Browser mit Cookies verwendet, der den Benutzer korrekt als angemeldet identifiziert.
Es ist die böswillige Aktion, die der registrierte Benutzer unwissentlich ausführt, auf die der Angreifer zählt.
Das gemeinnützige Open Worldwide Application Security Project (OWASP) beschreibt eine CSRF-Schwachstelle:
„Cross-Site Request Forgery (CSRF) ist ein Angriff, der einen Endbenutzer dazu zwingt, unerwünschte Aktionen in einer Webanwendung auszuführen, in der er derzeit authentifiziert ist.
Mit ein wenig Hilfe von Social Engineering (z. B. durch das Senden eines Links per E-Mail oder Chat) kann ein Angreifer die Benutzer einer Webanwendung dazu verleiten, Aktionen nach Wahl des Angreifers auszuführen.
Wenn das Opfer ein normaler Benutzer ist, kann ein erfolgreicher CSRF-Angriff den Benutzer dazu zwingen, Statusänderungsanforderungen wie Geldüberweisungen, Änderung seiner E-Mail-Adresse usw. durchzuführen.
Wenn das Opfer ein Administratorkonto ist, kann CSRF die gesamte Webanwendung kompromittieren.“
Die Website Common Weakness Enumeration (CWE), die vom United States Department of Homeland Security gesponsert wird, bietet eine Definition dieser Art von CSRF:
„Die Webanwendung kann oder kann nicht ausreichend überprüfen, ob eine wohlgeformte, gültige, konsistente Anfrage von dem Benutzer, der die Anfrage gestellt hat, absichtlich gestellt wurde.
…Wenn ein Webserver darauf ausgelegt ist, eine Anfrage von einem Client zu erhalten, ohne dass ein Mechanismus zur Überprüfung, ob sie absichtlich gesendet wurde, möglich ist, kann ein Angreifer einen Client dazu verleiten, eine unbeabsichtigte Anfrage an den Webserver zu stellen, die behandelt wird als authentische Bitte.
Dies kann über eine URL, das Laden von Bildern, XMLHttpRequest usw. erfolgen und kann zur Offenlegung von Daten oder zur unbeabsichtigten Codeausführung führen.“
In diesem speziellen Fall beschränken sich die unerwünschten Aktionen auf das Löschen von Protokolldateien.
Die National Vulnerability Database veröffentlichte Details der Schwachstelle:
„Das WPCode WordPress-Plugin vor 2.0.9 hat beim Löschen des Protokolls ein fehlerhaftes CSRF und stellt nicht sicher, dass sich die zu löschende Datei im erwarteten Ordner befindet.
Dies könnte es Angreifern ermöglichen, Benutzer mit der Funktion wpcode_activate_snippets dazu zu bringen, beliebige Protokolldateien auf dem Server zu löschen, auch außerhalb der Blog-Ordner.“
Die WPScan-Website (im Besitz von Automattic) hat einen Proof of Concept der Schwachstelle veröffentlicht.
Ein Proof of Concept ist in diesem Zusammenhang ein Code, der verifiziert und demonstriert, dass eine Schwachstelle funktionieren kann.
Das ist der Proof-of-Concept:
"Make a logged in user with the wpcode_activate_snippets capability open the URL below https://example.com/wp-admin/admin.php?page=wpcode-tools&view=logs&wpcode_action=delete_log&log=../../delete-me.log This will make them delete the ~/wp-content/delete-me.log"
Zweite Schwachstelle für 2023
Dies ist die zweite Schwachstelle, die 2023 für das Plugin WPCode Insert Headers and Footers entdeckt wurde.
Eine weitere Schwachstelle wurde im Februar 2023 entdeckt und betrifft die Versionen 2.0.6 oder niedriger, die das Sicherheitsunternehmen Wordfence WordPress als a „Fehlende Autorisierung zur Offenlegung/Aktualisierung sensibler Schlüssel.“
Laut NVD, dem Schwachstellenbericht, betraf die Schwachstelle auch Versionen bis 2.0.7.
Die NVD warnte vor der früheren Schwachstelle:
„Das WPCode WordPress-Plugin vor 2.0.7 verfügt nicht über angemessene Berechtigungsprüfungen für mehrere AJAX-Aktionen, sondern überprüft nur die Nonce.
Dies kann dazu führen, dass jeder authentifizierte Benutzer, der Beiträge bearbeiten kann, die Endpunkte im Zusammenhang mit der Authentifizierung der WPCode-Bibliothek aufrufen kann (z. B. den Authentifizierungsschlüssel aktualisieren und löschen).
WPCode hat einen Sicherheitspatch herausgegeben
Das Änderungsprotokoll für das WordPress-Plugin WPCode – Kopf- und Fußzeilen einfügen stellt verantwortungsbewusst fest, dass sie ein Sicherheitsproblem behoben haben.
Eine Changelog-Notation für Versionsupdate 2.0.9 besagt:
„Fix: Sicherheitshärtung zum Löschen von Protokollen.“
Die Changelog-Notation ist wichtig, da sie Benutzer des Plugins über den Inhalt des Updates informiert und es ihnen ermöglicht, eine fundierte Entscheidung darüber zu treffen, ob sie mit dem Update fortfahren oder bis zum nächsten warten möchten.
WPCode handelte verantwortungsbewusst, indem es zeitnah auf die Entdeckung der Schwachstelle reagierte und den Sicherheitsfix auch im Änderungsprotokoll vermerkte.
empfohlenes Vorgehen
Es wird empfohlen, dass Benutzer des Plugins WPCode – Kopf- und Fußzeilen einfügen ihr Plugin auf mindestens Version 2.0.9 aktualisieren.
Die aktuellste Version des Plugins ist 2.0.10.
Lesen Sie mehr über die Schwachstelle auf der NVD-Website:
CVE-2023-1624-Detail