Ein kürzlich entdeckter Fehler in einem beliebten WordPress-Plugin könnte Tausende von Websites dem Risiko ausgesetzt haben, bösartige Webskripte auf ahnungslosen Besuchern auszuführen.
Die vom Wordfence Threat Intelligence-Team entdeckte Schwachstelle wurde im „WordPress Email Template Designer – WP HTML Mail“ gefunden, einem Plugin, das die Gestaltung benutzerdefinierter E-Mails für Websites vereinfacht, die auf dem WordPress-Website-Builder ausgeführt werden. WordPress.
Etwa 20.000 Websites nutzen das Plugin.
WordPress-Bedenken
Den Forschern zufolge ermöglichte die Schwachstelle einem nicht authentifizierten Angreifer, bösartiges JavaScript einzuschleusen, das jedes Mal ausgeführt wurde, wenn ein Site-Administrator auf den Vorlageneditor zugriff. Darüber hinaus würde die Sicherheitslücke es ihnen ermöglichen, die E-Mail-Vorlage zu ändern und beliebige Daten hinzuzufügen, die für einen Phishing-Angriff gegen die E-Mail-Empfänger verwendet werden könnten.
Forscher kontaktierten die Plugin-Entwickler und am 13. Januar wurde ein Fix veröffentlicht. Das Wordfence Threat Intelligence-Team fordert alle WordPress-Administratoren, die das Email Template Builder-Plugin ausführen, dringend auf, sofort auf Version 3.1 zu aktualisieren.
Die Forscher gingen detaillierter auf die Schwachstelle ein und sagten, dass das Plugin zwei REST-API-Routen registriert, die zum Abrufen und Aktualisieren von E-Mail-Vorlageneinstellungen verwendet werden. Da diese „unsicher implementiert“ seien, könnten nicht authentifizierte Benutzer auf diese Endpunkte zugreifen.
Heckklappen einspritzen
„Das Plugin speichert den Endpunkt /themesettings, der je nach Anforderungsmethode entweder die Funktion saveThemeSettings oder die Funktion getThemeSettings aufruft. Der REST-API-Endpunkt verwendete die Rückruffunktion, sie war jedoch auf __return_true gesetzt, was bedeutete, dass keine Authentifizierung erforderlich war.“ Um die Funktionen auszuführen, hatte daher jeder Benutzer Zugriff auf die Ausführung des REST-API-Endpunkts, um die Konfiguration des E-Mail-Betreffs zu speichern oder die Konfiguration des E-Mail-Betreffs abzurufen“, erklärten die Forscher.
Die Funktion ermöglicht die Implementierung von Parameteränderungen an der E-Mail-Vorlage, was bedeutet, dass ein böswilliger Akteur sie „leicht“ in ein Phishing-Tool verwandeln könnte, fügten die Forscher hinzu. Sie könnten der Vorlage sogar schädliches JavaScript hinzufügen.
„Wie immer können Cross-Site-Scripting-Schwachstellen genutzt werden, um Code einzuschleusen, der neue administrative Benutzer hinzufügen, Opfer auf bösartige Websites umleiten, Hintertüren in Plugin- und Theme-Dateien einschleusen kann und vieles mehr“, schlussfolgerten sie.
All dies bedeutet, dass eine „hohe Wahrscheinlichkeit“ besteht, dass böswillige Angreifer Administratorzugriff auf Websites erhalten, auf denen die ungepatchte Version des Plugins ausgeführt wird.