Ein weiterer Tag, eine weitere Sicherheitslücke in WordPress-Plugins, die Hunderttausende von Websites betrifft.
Dieses neueste Problem, eine Cross-Site-Scripting (XSS)-Schwachstelle, wurde vom Wordfence Threat Intelligence-Team im Header Footer Code Manager entdeckt, einem WordPress-Plug-in, mit dem Webmaster Code-Snippets zu Kopf- und Fußzeilen ihrer Websites hinzufügen können.
Der Fehler selbst dreht sich um die Fähigkeit des Administrators, die Liste der zur Website hinzugefügten Snippets anzuzeigen, einschließlich Links zum Bearbeiten oder Entfernen vorhandener Snippets. Indem ein Administrator dazu verleitet wird, ein selbst übermitteltes Formular zu besuchen, kann der Angreifer JavaScript im Browser ausführen und erhält dadurch die gleichen Rechte wie der Administrator. Der Angreifer kann auch andere böswillige Administratorkonten erstellen oder sogar Hintertüren installieren.
Mehr als 300.000 potenzielle Opfer
Die Forscher fügen hinzu, dass dieses spezielle Plugin verwendet wird, um einer Website Code hinzuzufügen, was bedeutet, dass ein bösartiger Akteur sogar Website-Besucher angreifen könnte, selbst auf Websites, auf denen die Dateibearbeitung und Benutzererstellung blockiert sind.
Da der Angreifer seine Opfer sehr gut kennen und entsprechende Links und Formulare verteilen muss, ist davon auszugehen, dass diese Schwachstelle nur bei besonders gezielten Angriffen ausgenutzt werden kann.
Das Header Footer Code Manager-Plugin wurde bisher mehr als 300.000 Mal installiert, sagten die Forscher und forderten die Benutzer auf, das Plugin sofort zu aktualisieren. Die Plugin-Autoren wurden rechtzeitig über die Schwachstelle informiert und veröffentlichten innerhalb von drei Tagen einen Patch. Die neueste Version des Plugins trägt die Nummer 1.1.17 und wurde am 18. Februar 2022 bereitgestellt.
WordPress ist einer der beliebtesten Website-Builder der Welt, da rund 37 % aller Websites auf dem Tool gehostet werden. Das sind insgesamt 455 Millionen Websites. Darüber hinaus betreibt WordPress fast zwei Drittel (62 %) aller CMS-Websites.
Dies macht es zu einem Hauptziel für Bedrohungsakteure, die oft die Zehntausende verfügbarer WordPress-Plugins als Einstiegspunkt verwenden. Aus diesem Grund fordern Cybersicherheitsforscher WordPress-Benutzer immer dazu auf, ihre Websites und Plugins jederzeit auf dem neuesten Stand zu halten.