PHP Object Injection Schwachstelle im Booking Calendar Plugin

27. April 2022
PHP Object Injection Schwachstelle im Booking Calendar Plugin

Am 18. April 2022 leitete das Wordfence Threat Intelligence Team den Prozess der verantwortlichen Offenlegung einer Object Injection-Schwachstelle im Booking Calendar Plugin für WordPress ein, das über 60.000 Installationen hat.

Wir erhielten noch am selben Tag eine Antwort und übermittelten unsere vollständige Meldung am nächsten Tag, dem 19. April 2022. Eine gepatchte Version des Plugins, 9.1.1, wurde am 21. April 2022 veröffentlicht.

Wir haben eine Firewall-Regel zum Schutz von Wordfence Premium, Wordfence Pflegeund Wordfence Antwort Kunden am 18. April 2022. Websites, die noch die kostenlose Version von Wordfence nutzen, erhalten den gleichen Schutz am 18. Mai 2022. Wir empfehlen allen Wordfence-Nutzern, so schnell wie möglich auf die gepatchte Version 9.1.1 zu aktualisieren, da diese die Schwachstelle vollständig beseitigen wird.


Mit dem Buchungskalender-Plugin können Website-Besitzer ein Buchungssystem zu ihrer Website hinzufügen, das die Möglichkeit bietet, eine flexible Zeitleiste mit bestehenden Buchungen und offenen Terminen über einen Shortcode zu veröffentlichen, [bookingflextimeline].

Die flexible Zeitleiste bietet die Möglichkeit, Voreinstellungen und Optionen für die Anzeige der veröffentlichten Zeitleiste zu konfigurieren. Einige dieser Optionen wurden im serialisierten Datenformat von PHP übergeben und von der define_request_view_params_from_params Funktion in core/timeline/v2/wpbc-class-timeline_v2.php.

Ein Angreifer könnte die serialisierten Daten über mehrere Methoden kontrollieren:

  1. Wenn eine Zeitleiste veröffentlicht wurde, konnte ein nicht authentifizierter Angreifer die Nonce erhalten, die zum Senden einer AJAX-Anfrage mit der Aktion WPBC_FLEXTIMELINE_NAV und einer timeline_obj[options] Parameter auf ein serialisiertes PHP-Objekt gesetzt.
  2. Jeder authentifizierte Angreifer konnte die eingebaute parse-media-shortcode AJAX-Aktion verwenden, um die [bookingflextimeline] Shortcode auszuführen, das Hinzufügen einer options Attribut in den Shortcode ein, das auf ein serialisiertes PHP-Objekt gesetzt ist. Das funktioniert auch auf Websites ohne eine veröffentlichte Zeitleiste.
  3. Ein Angreifer mit Rechten auf Contributor-Level oder höher könnte auch das [bookingflextimeline] Shortcode einbetten, der einen bösartigen options Attribut enthält, in einen Beitrag einfügen und ihn in der Vorschau ausführen, oder sich den WPBC_FLEXTIMELINE_NAV Nonce durch eine Vorschau des [bookingflextimeline] Shortcode einfügen und dann Methode 1 anwenden.

Immer wenn ein Angreifer Daten kontrollieren kann, die von PHP desialisiert werden, kann er ein PHP-Objekt mit Eigenschaften seiner Wahl einschleusen. Wenn eine "POP-Kette" vorhanden ist, kann ein Angreifer beliebigen Code ausführen, Dateien löschen oder auf andere Weise eine verwundbare Website zerstören oder die Kontrolle darüber erlangen. Glücklicherweise war im Booking-Plugin keine POP-Kette vorhanden, so dass ein Angreifer etwas Glück und zusätzliche Nachforschungen benötigen würde, um diese Schwachstelle auszunutzen. Dennoch kommen POP-Ketten in einer Reihe von beliebten Softwarebibliotheken vor, so dass viele Websites ausgenutzt werden könnten, wenn ein anderes Plugin installiert ist, das eine dieser Bibliotheken verwendet.

Trotz des Fehlens einer POP-Kette und der Komplexität der Ausnutzung sind die potenziellen Folgen eines erfolgreichen Angriffs so schwerwiegend, dass die Schwachstellen durch Object Injection immer noch eine "hohe" CVSS-Bewertung rechtfertigen. Wir haben bereits in der Vergangenheit über Object Injection-Schwachstellen geschrieben geschrieben, wenn du mehr darüber erfahren möchtest, wie sie funktionieren.

Zeitleiste

April 18, 2022 - Wir veröffentlichen eine Firewall-Regel zum Schutz von Wordfence Premium-, Care- und Response-Kunden. Wir leiten den Offenlegungsprozess ein. Der Plugin-Entwickler verifiziert die Kontaktmethode.
19. April 2022 - Wir senden die vollständige Offenlegung an den Plugin-Entwickler.
21. April 2022 - Eine gepatchte Version des Booking Calendar Plugins, 9.1.1, wird veröffentlicht.
18. Mai 2022 - Die Firewall-Regel wird für kostenlose Wordfence-Nutzer verfügbar.

Fazit

In unserem heutigen Beitrag haben wir eine Object Injection-Schwachstelle im Booking Calendar Plugin behandelt. Wordfence Premium, Wordfence Pflegeund Wordfence Antwort Kunden sind vollständig vor dieser Sicherheitslücke geschützt. Websites, die die kostenlose Version von Wordfence nutzen, erhalten am 18. Mai 2022 den gleichen Schutz, haben aber die Möglichkeit, das Booking Calendar Plugin auf die gepatchte Version 9.1.1 zu aktualisieren, um das Risiko sofort zu beseitigen.

Wenn du glaubst, dass deine Website durch diese oder eine andere Sicherheitslücke kompromittiert wurde, bieten wir Incident Response Services über Wordfence Care. Wenn du deine Seite sofort reinigen lassen willst, Wordfence Antwort bietet denselben Service mit 24/7/365 Verfügbarkeit und einer Reaktionszeit von 1 Stunde. Beide Produkte beinhalten praktischen Support, falls du weitere Hilfe benötigst.

Quelle


Dieser Artikel ist im Original von www.wordfence.com und wurde übersetzt
https://www.wordfence.com/blog/2022/04/php-object-injection-in-booking-calendar-plugin/

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung