Reflektiertes XSS im Header Footer Code Manager

4. März 2022

Am 15. Februar 2022 hat das Wordfence Threat Intelligence-Team eine reflektierte Cross-Site Scripting (XSS)-Schwachstelle im Header Footer Code Manager, einem WordPress-Plugin mit über 300.000 Installationen, aufgedeckt.

Der Plugin-Herausgeber hat unseren ersten Kontakt schnell bestätigt und wir haben noch am selben Tag, dem 15. Februar 2022, die vollständigen Details der Offenlegung übermittelt. Eine gepatchte Version, 1.1.17, wurde ein paar Tage später implementiert und am 18. Februar 2022 zur Verfügung gestellt.

Wordfence Premium, Wordfence Care, und Wordfence Antwort Kunden haben am 15. Februar 2022 eine Firewall-Regel zum Schutz vor dieser Sicherheitslücke erhalten. Websites, die noch mit der kostenlosen Version von Wordfence arbeiten, sind durch unsere integrierte XSS-Regel teilweise vor dieser Schwachstelle geschützt, erhalten aber 30 Tage später, am 17. März 2022, den vollen Schutz.

Der Header Footer Code Manager ist ein WordPress-Plugin, mit dem Administratoren Codeschnipsel in den Header oder Footer einer Website einfügen können. Auf einer der durch das Plugin hinzugefügten Admin-Panel-Seiten können Administratoren eine Liste der Code-Snippets einsehen, die der Website hinzugefügt wurden, einschließlich Links zum Bearbeiten oder Löschen dieser vorhandenen Code-Snippets. Die Funktion column_name des Plugins verwendet die $_REQUEST[‘page’] Parameter, um diesen Link zu erstellen.

WordPress verwendet den Wert des $_GET[‘page’] Parameters, um festzustellen, welche Seite der Nutzer gerade besucht, und sperrt unberechtigte Nutzer, wenn sie nicht auf die aktuelle Seite zugreifen dürfen, die in $_GET[‘page’]. Das bedeutet, dass $_REQUEST[‘page’] eigentlich nur die Admin-Seite enthalten sollte, auf der die Liste der Code-Snippets angezeigt wird, hfcm-list. Aufgrund einer Eigenart von PHP im Umgang mit superglobalen Variablen, $_REQUEST Parameter überladen werden.

PHP füllt die $_REQUEST superglobale Variable von $_GET, $_POST, und $_COOKIE. Das bedeutet, dass normalerweise, wenn ein $_GET[‘page’] Parameter gesendet wird, $_REQUEST[‘page’] wird mit dem Wert von $_GET[‘page’]. In den meisten PHP-Konfigurationen wird jedoch der request_order (oder variables_order wenn request_order nicht gesetzt ist) bedeutet, dass wenn eine Anfrage mit einem $_GET[‘page’] Parameter und a $_POST[‘page’] Parameter, der Wert von $_REQUEST[‘page’] wird auf den Wert von $_POST[‘page’].

Damit kann JavaScript im Browser eines eingeloggten Administrators ausgeführt werden, indem er z.B. dazu gebracht wird, ein Formular zur Selbsteinreichung aufzurufen, das eine POST-Anfrage an z.B. hxxps://victimsite.site/wp-admin/admin.php?page=hfcm-list sendet, mit der $_POST[‘page’] Parameter auf bösartiges JavaScript gesetzt ist.

Die $_GET[‘page’] Parameter bedeutet, dass WordPress das Opfer auf die richtige Seite weiterleitet, und dann wird der Wert von $_REQUEST[‘page’] (der in fast allen Konfigurationen auf den Wert von $_POST[‘page’]) wird auf der Seite ausgegeben.

Die meisten XSS können verwendet werden, um Aktionen mit der Sitzung eines Administrators durchzuführen, was die Möglichkeit einschließt, bösartige Administratoren zu erstellen und in einigen Fällen Hintertüren hinzuzufügen. Außerdem wird dieses Plugin verwendet, um Code zu einer Website hinzuzufügen, so dass ein Angreifer möglicherweise auch reflektiertes XSS in gespeichertes XSS umwandeln könnte, um Website-Besucher anzugreifen, selbst auf Websites, auf denen die Funktionen zur Dateibearbeitung und Benutzererstellung gesperrt wurden.

Zeitleiste

Februar 15, 2022 - Das Wordfence Threat Intelligence-Team schließt seine Untersuchung ab und gibt eine Firewall-Regel für Wordfence Premium-, Care- und Response-Nutzer frei, um sie vor Exploits zu schützen, die auf diese Sicherheitslücke abzielen. Wir leiten den Prozess der verantwortlichen Offenlegung ein und erhalten eine Antwort von den Entwicklern des Plugins. Wir übermitteln eine vollständige Offenlegung.
17. Februar 2022 - Das Changelog des Plugins zeigt, dass das Problem behoben ist.
18. Februar 2022 - Eine gepatchte Version des Plugins, 1.1.17, wurde im WordPress Repo veröffentlicht.
17. März 2022 - Die Firewall-Regel wird für kostenlose Wordfence-Nutzer verfügbar.

Fazit

In unserem heutigen Artikel haben wir eine reflektierte XSS-Schwachstelle im Header Footer Code Manager besprochen. Auch wenn ein Administrator dazu gebracht werden muss, auf einen Link zu klicken oder eine andere Aktion auszuführen, besteht immer noch die Möglichkeit, eine Website zu übernehmen. Wir raten dir daher dringend, so schnell wie möglich auf die neueste Version des Plugins zu aktualisieren, die zum Zeitpunkt dieses Artikels 1.1.17 ist.

Laufende Seiten Wordfence Premium, Wordfence Careund Wordfence Antwort sind vollständig gegen diese Sicherheitslücke geschützt. Websites, die die kostenlose Version von Wordfence nutzen, sind teilweise geschützt und erhalten am 17. März 2022 den vollständigen Schutz.

Wenn du glaubst, dass deine Website durch diese oder eine andere Sicherheitslücke kompromittiert wurde, bieten wir Incident Response Services über Wordfence Care. Wenn du deine Seite sofort reinigen lassen willst, Wordfence Antwort bietet den gleichen Service mit 24/7/365 Verfügbarkeit und einer Reaktionszeit von 1 Stunde. Beide Produkte beinhalten praktischen Support, falls du weitere Hilfe benötigst.

Wenn du einen Freund oder Kollegen kennst, der dieses Plugin auf seiner Website verwendet, empfehlen wir dir dringend, diesen Hinweis an ihn weiterzuleiten, um seine Website zu schützen, denn es handelt sich um eine schwerwiegende Sicherheitslücke, die zu einer vollständigen Übernahme der Website führen kann.

Vielen Dank an Charlie Patel, CEO von 99robots, für die schnelle und persönliche Reaktion auf unsere Meldung.

Quelle


Dieser Artikel ist im Original von www.wordfence.com und wurde übersetzt
https://www.wordfence.com/blog/2022/02/reflected-xss-in-header-footer-code-manager/

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung