Reflektiertes XSS in Spamschutz, AntiSpam, FireWall von CleanTalk

30. März 2022
Reflektiertes XSS in Spamschutz, AntiSpam, FireWall von CleanTalk

Am 15. Februar 2022 beendete das Wordfence Threat Intelligence-Team die Recherche zu zwei separaten Schwachstellen im Spamschutz, AntiSpam, FireWall von CleanTalk, einem WordPress-Plugin mit über 100.000 Installationen. Beide spiegelten Cross-Site-Scripting-Schwachstellen wider, die für die Übernahme von Sites verwendet werden konnten, wenn ein Angreifer einen Site-Administrator erfolgreich dazu verleiten konnte, eine Aktion auszuführen, z. B. auf einen Link zu klicken.

Wir haben zunächst versucht, CleanTalk noch am selben Tag über eine Methode zu kontaktieren, mit der wir zuvor Schwachstellen erfolgreich gemeldet hatten. Nachdem wir über einen Monat lang keine Antwort erhalten hatten, kontaktierten wir am 22. März 2022 das WordPress-Plugins-Team. Eine gepatchte Version, 5.174.1, wurde am 25. März 2022 zur Verfügung gestellt.

Alle Wordfence-Kunden, einschließlich Wordfence Premium, Wordfence Pflegeund Wordfence-Antwort Kunden sowie freie Wordfence-Benutzer sind durch den integrierten Cross-Site-Scripting-Schutz der Wordfence-Firewall vor Exploits geschützt, die auf diese Schwachstellen abzielen.

CleanTalk ist ein WordPress-Plugin, das entwickelt wurde, um Websites vor Spam-Kommentaren und Registrierungen zu schützen. Eine der Funktionen, die es enthält, ist die Möglichkeit, Kommentare auf Spam zu überprüfen und die Spam-Kommentare zum Löschen zu präsentieren.
Das Plugin verwendet die column_ct_comment Funktion in /lib/Cleantalk/ApbctWP/FindSpam/ListTable/Comments.php , um die Liste der Spam-Kommentare anzuzeigen, und generiert dabei Links, um Kommentare zu genehmigen, in den Papierkorb zu werfen oder als Spam zu markieren, indem Sie den in $_REQUEST[‘page’].

Dank einer Eigenart, wie WordPress den Seitenparameter und die Standardreihenfolge der PHP-Anforderung verarbeitet, ist es möglich, diesen Parameter zu verwenden, um einen reflektierten Cross-Site-Scripting-Angriff durchzuführen, der fast identisch mit einer Schwachstelle ist Wir haben kürzlich berichtet.

Die Schwachstelle kann genutzt werden, um JavaScript im Browser eines angemeldeten Administrators auszuführen, indem er beispielsweise dazu verleitet wird, ein selbstübermittlungsfähiges Formular zu besuchen, das eine POST-Anfrage an die Website sendet. wp-admin/edit-comments.php?page=ct_check_spam, mit dem $_POST[‘page’] -Parameter auf bösartiges JavaScript festgelegt.

Wie bei jeder Cross-Site-Scripting-Schwachstelle kann die Ausführung von JavaScript in einer Administratorsitzung verwendet werden, um eine Site zu übernehmen, indem ein neuer böswilliger Administrator hinzugefügt oder eine Hintertür injiziert wird, neben anderen möglichen Methoden.

Ähnlich wie die Spam-Kommentarfunktion enthält CleanTalk auch eine Funktion, die nach Spam-Benutzern sucht und sie in einer ähnlichen Tabelle zur Überprüfung und Löschung darstellt. In diesem Fall ist die anfällige Funktion column_ct_username in /lib/Cleantalk/ApbctWP/FindSpam/ListTable/Users.php, die den Wert von $_REQUEST[‘page’] um Links zu generieren, um potenziell spammige Benutzer zu löschen. Wie bei der Spam-Kommentar-Schwachstelle ist es möglich, javascript zu verwenden, das in seinem Browser ausgeführt wird, um eine Website zu übernehmen, wenn ein Administrator dazu verleitet werden kann, eine Aktion auszuführen.

Zeitleiste

15. Februar 2022 – Das Wordfence Threat Intelligence-Team schließt unsere Untersuchung ab und überprüft, ob der integrierte Schutz der Wordfence-Firewall ausreicht, um Exploit-Versuche zu blockieren. Wir senden die vollständige Offenlegung an einen Kontakt bei CleanTalk, dem wir in der Vergangenheit erfolgreich Schwachstellen offengelegt haben.
22. März 2022 – Da wir noch nichts von unserem Kontakt gehört haben, haben wir die Schwachstelle dem WordPress-Plugins-Team gemeldet.
25. März 2022 – Eine gepatchte Version des Plugins, 5.174.1, wird verfügbar.

Schlussfolgerung

Im heutigen Artikel haben wir zwei fast identische Cross-Site-Scripting-Schwachstellen im Spam-Schutz-, AntiSpam- und FireWall-By-CleanTalk-Plugin für WordPress behandelt. Während beide Schwachstellen ein gewisses Maß an Social Engineering erfordern, könnten beide für die Standortübernahme verwendet werden.

Alle Wordfence-Benutzer, einschließlich der ausgeführten Benutzer Wordfence Premium, Wordfence Pflegeund Wordfence-Antwortsowie Websites, auf denen noch die kostenlose Version von Wordfence ausgeführt wird, sind vollständig gegen diese Sicherheitsanfälligkeit geschützt.

Wenn Sie der Meinung sind, dass Ihre Website infolge dieser oder einer anderen Schwachstelle kompromittiert wurde, bieten wir Incident Response-Dienste über Wordfence Pflege. Wenn Sie Ihre Website sofort reinigen müssen, Wordfence-Antwort bietet den gleichen Service mit 24/7/365 Verfügbarkeit und einer Reaktionszeit von 1 Stunde. Beide Produkte beinhalten praktischen Support für den Fall, dass Sie weitere Hilfe benötigen.

Wenn Sie einen Freund oder Kollegen kennen, der dieses Plugin auf seiner Website verwendet, empfehlen wir Ihnen dringend, diese Empfehlung an sie weiterzuleiten, um ihnen zu helfen. ihre Websites geschützt zu halten, da dies eine schwerwiegende Schwachstelle ist, die zu einer vollständigen Übernahme der Website führen kann.

Quelle


Dieser Artikel ist im Original von www.wordfence.com und wurde übersetzt
https://www.wordfence.com/blog/2022/03/reflected-xss-in-spam-protection-antispam-firewall-by-cleantalk/

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung