Das WordPress-Plugin „Essential Addons for Elementor“ mit über einer Million Benutzern hat kürzlich mehrere Sicherheitslücken gepatcht, die es böswilligen Angreifern ermöglicht haben könnten, beliebigen Code auf einer gezielten WordPress-Website auszuführen.
LFI-zu-RCE-Angriffs-Schwachstelle
Laut der NIST-Website der US-Regierung ermöglichten Schwachstellen im Plug-in „Essential Addons for Elementor“ einem Angreifer, einen Local File Inclusion-Angriff zu starten, bei dem es sich um einen Exploit handelt, der es einem Angreifer ermöglicht, eine WordPress-Installation dazu zu bringen, vertrauliche Informationen preiszugeben und willkürlich zu lesen Dateien.
Von dort aus könnte der Angriff zu einem ernsteren Angriff namens Remote Code Execution (RCE) führen. Remote Code Execution ist eine äußerst schwerwiegende Form des Angriffs, bei der ein Hacker beliebigen Code auf einer WordPress-Site ausführen und eine Reihe von Schäden verursachen kann, einschließlich einer vollständigen Übernahme der Site.
Beispielsweise kann ein Local File Inclusion-Angriff durchgeführt werden, indem die URL-Parameter auf etwas geändert werden, das vertrauliche Informationen preisgeben könnte.
Dies wurde möglich, weil das Essential Addons for Elementor WordPress-Plugin Daten nicht richtig validierte und bereinigte.
Die Datenbereinigung ist ein Prozess zur Begrenzung der Art von Informationen, die eingegeben werden können. Datenbereinigung kann man sich vereinfacht als ein Schloss vorstellen, das nur eine bestimmte Eingabe zulässt, ein Schlüssel mit einem bestimmten Muster. Ein Fehler bei der Durchführung der Datenbereinigung könnte einem Schloss entsprechen, das mit jedem Schlüssel geöffnet werden kann.
Laut der National Vulnerability Database der US-Regierung:
„Das Essential Addons for Elementor WordPress-Plugin vor 5.0.5 validiert und bereinigt einige Vorlagendaten nicht, bevor sie in Include-Anweisungen eingefügt werden, was es nicht authentifizierten Angreifern ermöglichen könnte, einen Local File Inclusion-Angriff durchzuführen und beliebige Dateien auf dem Server zu lesen, dies könnte auch dazu führen an RCE über vom Benutzer hochgeladene Dateien oder andere LFI-zu-RCE-Techniken.“
Die Sicherheitsseite WPScan, die die Schwachstelle zuerst entdeckt und gemeldet hat, veröffentlichte die folgende Beschreibung:
„Das Plugin validiert und bereinigt einige Vorlagendaten nicht, bevor sie in Include-Anweisungen eingefügt werden, was es nicht authentifizierten Angreifern ermöglichen könnte, Local File Inclusion-Angriffe durchzuführen und beliebige Dateien auf dem Server zu lesen. Dies könnte auch zu RCE über vom Benutzer hochgeladene Dateien oder andere LFI führen zu RCE-Techniken.“
Wesentliche Add-ons für Elementor Patched
Die Schwachstelle wurde am 1. Februar 2022 auf der Website der National Vulnerability Database bekannt gegeben.
Aber die „Lite“-Version des Essential Addons for Elementor-Plugins patcht seit Ende Januar Schwachstellen, wie aus dem Essential Addons Lite-Änderungsprotokoll hervorgeht.
Ein Änderungsprotokoll ist ein Softwareprotokoll aller Änderungen, die für jede aktualisierte Version vorgenommen wurden. Es ist eine Aufzeichnung von allem, was geändert wurde.
Seltsamerweise erwähnt das Änderungsprotokoll für die Pro-Version nur „Wenige kleinere Fehlerbehebungen und Verbesserungen“, aber keine Erwähnung der Sicherheitskorrekturen.
Screenshot von Essential Addons für das Änderungsprotokoll von Elementor Pro
Warum fehlen die Sicherheitsfix-Informationen in der Pro-Version des WordPress-Plugins?
Änderungsprotokoll für die Lite-Version von Essential Addons for Elementor Lite Plugin
Das Änderungsprotokoll für die Lite-Version, die die Versionen 5.0.3 bis 5.0.5 abdeckt, wurde vom 25. bis 28. Januar 2022 aktualisiert, um die folgenden Probleme zu beheben:
- Behoben: Parameterbereinigung in dynamischen Widgets
- Verbessert: Bereinigte Vorlagendateipfade für Sicherheitsverbesserungen
- Verbessert: Verbesserte Sicherheit, um die Aufnahme unerwünschter Dateien vom Remote-Server durch Ajax-Anforderungen zu verhindern
Das Änderungsprotokoll weist darauf hin, dass heute, am 2. Februar 2022, die folgende Sicherheitsverbesserung für Version 5.0.6 durchgeführt wurde:
- Verbessert: Datenbereinigung, -validierung und -escaping zur Verbesserung der Sicherheit
Was ist die sicherste Version von Essential Addons für das Elementor-Plugin?
Die Vulnerability Database der US-Regierung hat keinen Schweregrad vergeben, daher ist derzeit unklar, wie schwerwiegend die Sicherheitsanfälligkeit ist.
Eine Sicherheitsanfälligkeit bezüglich der Ausführung von Remotecode ist jedoch besonders besorgniserregend, daher ist es wahrscheinlich eine gute Idee, auf die allerneueste Version des Essential Addons-Plug-ins zu aktualisieren.
Die WPScan-Website gibt an, dass die Schwachstellen in Essential Addons for Elementor Plugin Version 5.0.5 behoben wurden.
Das Plugin-Änderungsprotokoll für die Lite-Version des Plugins besagt jedoch, dass Version 5.0.6 heute, am 22. Februar 2022, ein zusätzliches Datenbereinigungsproblem behebt.
Daher kann es ratsam sein, mindestens auf Version 5.0.6 zu aktualisieren.
Zitate
Lesen Sie den WPScan-Schwachstellenbericht
Wesentliche Add-Ons für Elementor < 5.0.5 – Nicht authentifiziertes LFI
Lesen Sie den Bericht der Regierung der Vereinigten Staaten über die Schwachstelle
CVE-2022-0320-Detail
Lesen Sie das Änderungsprotokoll für wesentliche Addons für Elementor Plugin Lite
Wesentliche Addons für Elementor Lite Plugin Changelog
Lesen Sie das Änderungsprotokoll für Essential Addons für Elementor Pro
Wesentliche Addons für Elementor Pro Änderungsprotokoll