WordPress 5.9.2 Sicherheitsupdate behebt XSS- und Prototype Pollution-Schwachstellen

11. März 2022

Gestern Abend, kurz nach 18 Uhr pazifischer Zeit, am Donnerstag, den 10. März 2022, hat das WordPress-Kernteam die WordPress-Version 5.9.2 veröffentlicht, die Sicherheitspatches für eine hochgefährliche Sicherheitslücke sowie zwei mittelgefährliche Probleme enthält.

Die Sicherheitslücke mit hohem Schweregrad betrifft die Versionen 5.9.0 und 5.9.1 und ermöglicht es Benutzern ab der Contributor-Ebene, bösartiges JavaScript in WordPress-Beiträge einzufügen. Das Wordfence Threat Intelligence Team konnte relativ schnell einen Proof of Concept für diese Schwachstelle erstellen und veröffentlichte bereits am 11. März 2022 eine Firewall-Regel zum Schutz von WordPress-Sites, die noch nicht aktualisiert wurden.

Die beiden Sicherheitslücken mittlerer Schwere betreffen WordPress-Versionen vor 5.9.2 und ermöglichen es Angreifern, beliebiges JavaScript in der Sitzung eines Benutzers auszuführen, wenn sie diesen Benutzer dazu bringen können, auf einen Link zu klicken. Alle WordPress-Versionen seit WordPress 3.7 wurden ebenfalls mit dem Fix für diese Sicherheitslücken aktualisiert.

Schwachstellenanalyse

Wie bei allen WordPress-Core-Releases, die Sicherheitsbehebungen enthalten, hat das Wordfence Threat Intelligence-Team das Update im Detail analysiert, um die Sicherheit unserer Kunden zu gewährleisten.

Wir haben zwei neue Firewall-Regeln zum Schutz vor den in WordPress 5.9.2 gepatchten Sicherheitslücken veröffentlicht. Diese Regeln wurden implementiert für Wordfence Premium, Wordfence Pflegeund Wordfence Antwort Benutzer. Nutzer von Wordfence free erhalten diese Regeln nach 30 Tagen am 10. April 2022.

Auch wenn du durch die Wordfence-Firewall geschützt bist, empfehlen wir dir, den WordPress-Kern auf all deinen Websites so schnell wie möglich zu aktualisieren, falls sie nicht bereits automatisch aktualisiert wurden.

Contributor+ Gespeicherte Cross-Site-Scripting-Schwachstelle


Beschreibung: Contributor+ Gespeicherte XSS
Betroffene Versionen: WordPress Core 5.9.0-5.9.1
CVE ID: Ausstehend
CVSS Score: 8.0 (Hoch)
CVSS-Vektor: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Vollständig gepatchte Version:
5.9.2
Forscher/-in: Ben Bidner

WordPress verwendet eine Funktion namens wp_kses um bösartige Skripte aus Beiträgen zu entfernen, die in wp_filter_post_kses aufgerufen wird, wenn der Inhalt eines Beitrags gespeichert wird.

Neuere Versionen von WordPress erlauben eine gewisse vollständige Bearbeitung der Website, einschließlich globaler Stile, die ihre eigene Bereinigungsfunktion verwenden wp_filter_global_styles_post.

Doch leider ist die wp_filter_global_styles_post Funktion ausgeführt, nachdem wp_filter_post_kses. Normalerweise wäre dies kein Problem, aber wp_filter_global_styles_post führt eine zweite Runde der JSON-Dekodierung für den übergebenen Inhalt durch, was eine Reihe von Umgehungen ermöglicht, die normalerweise von wp_kses.

Die gepatchte Version läuft wp_filter_global_styles_post vor wp_filter_post_kses damit alle potenziellen Umgehungen bereits verarbeitet wurden und wp_kses effektiv bereinigen können.

Diese Schwachstelle setzt voraus, dass der Angreifer die Möglichkeit hat, Beiträge zu bearbeiten, und daher mindestens Zugriff auf das Konto eines Contributor-Nutzers hat. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte bösartiges JavaScript in einen Beitrag einschleusen, das bei der Vorschau durch einen Administrator ausgeführt wird. JavaScript, das in der Sitzung eines Administrators ausgeführt wird, kann dazu verwendet werden, eine Website zu übernehmen, indem neue böswillige administrative Benutzer hinzugefügt und Hintertüren in eine Website eingeschleust werden.

Prototype Pollution Schwachstellen


Beschreibung: Prototyp Pollution über das Gutenberg-Paket wordpress/url
Betroffene Versionen: WordPress Kern
CVE ID: Ausstehend
CVSS Score: 5.0 (Mittel)
CVSS-Vektor: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L
Vollständig gepatchte Version: 5.9.2
Forscher/-in: Ungekürzt

Beschreibung: Prototypische Verschmutzung in jQuery
Betroffene Versionen: WordPress Kern
CVE ID: CVE-2021-20083
CVSS Score: 5.0 (Mittel)
CVSS-Vektor: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L
Vollständig gepatchte Version: 5.9.2
Forscher/-in: Ungekürzt

Die Prototype Pollution-Schwachstellen ermöglichen es Angreifern, Schlüssel/Wert-"Eigenschaften" in JavaScript-Objekte einzuschleusen und ähneln in vielerlei Hinsicht den PHP Object Injection-Schwachstellen. In Fällen, in denen der Webserver JavaScript ausführt, wie z. B. bei Node.js, kann dies genutzt werden, um kritische Schwachstellen wie Remote Code Execution zu erreichen. WordPress ist jedoch eine PHP-Anwendung und läuft nicht auf Node.js, sodass die Auswirkungen dieser Schwachstellen begrenzt sind.

Eine dieser Schwachstellen befand sich im Gutenberg-Paket wordpress/url, während eine andere, aber sehr ähnliche Schwachstelle in jQuery vorhanden war, die separat gepatcht und auf jQuery 2.2.3 aktualisiert wurde.

Uns sind derzeit keine praktischen Exploits bekannt, aber solche Exploits, die auf WordPress abzielen, würden eine Benutzerinteraktion erfordern, z. B. wenn ein Angreifer ein Opfer dazu verleitet, auf einen Link zu klicken, ähnlich wie beim Cross-Site Scripting (XSS).

Ein Angreifer, der in der Lage ist, JavaScript im Browser eines Opfers auszuführen, könnte möglicherweise eine Website übernehmen, aber die Komplexität eines praktischen Angriffs ist hoch und würde wahrscheinlich die Installation einer separaten verwundbaren Komponente erfordern. Nichtsdestotrotz hat das Wordfence Threat Intelligence Team eine Firewall-Regel veröffentlicht, die Ausnutzungsversuche für diese Schwachstellen blockieren soll.

Fazit

Im heutigen Artikel haben wir die 3 Sicherheitslücken behandelt, die in der WordPress 5.9.2 Sicherheitsversion. Die meisten aktiv genutzten WordPress-Seiten sollten bereits über automatische Updates gepatcht worden sein. Die Wordfence-Firewall bietet ebenfalls Schutz vor diesen Sicherheitslücken.

Trotzdem empfehlen wir dringend, deine Website auf eine gepatchte Version von WordPress zu aktualisieren, falls sie nicht automatisch aktualisiert wurde. Solange du eine WordPress-Version größer als 3.7 verwendest, steht ein Update zur Verfügung, das diese Schwachstellen behebt und gleichzeitig die Hauptversion beibehält, sodass du dir keine Sorgen um Kompatibilitätsprobleme machen musst.

Hilf mit, die WordPress-Gemeinschaft zu schützen, indem du diese Informationen an die WordPress-Websitebesitzer in deinem Umfeld weitergibst.

Quelle


Dieser Artikel ist im Original von www.wordfence.com und wurde übersetzt
https://www.wordfence.com/blog/2022/03/wordpress-5-9-2-security-update-fixes-xss-and-prototype-pollution-vulnerabilities/

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung