WordPress Pop-Up Builder Plugin Fehler Plagen 200K Websites

  • Durch die Schwachstelle hätten Angreifer benutzerdefinierte Newsletter versenden und Newsletter-Abonnenten von 200.000 betroffenen Websites löschen können.

    Die Entwickler eines Plugins, das von WordPress-Websites zur Erstellung von Pop-up-Anzeigen für Newsletter-Abonnements verwendet wird, haben einen Patch für eine schwerwiegende Sicherheitslücke veröffentlicht. Die Sicherheitslücke könnte von Angreifern ausgenutzt werden, um Newsletter mit benutzerdefinierten Inhalten zu versenden oder Newsletter-Abonnenten zu löschen oder zu importieren.

    Bei dem betroffenen Plugin handelt es sich um Popup Builder – Responsive WordPress Pop up – Subscription & Newsletter, vom Entwickler Sygnoos. Das Plugin wurde bereits auf 200.000 WordPress-Websites installiert. Die Versionen 3.71 und darunter sind von der Sicherheitslücke betroffen (ein Fix wurde in Version 3.72 veröffentlicht; die neueste Version ist 3.73).

    “Die einzige Voraussetzung für die Ausnutzung ist, dass der Benutzer eingeloggt ist und Zugriff auf das Nonce-Token hat”, so die Forscher von WebArx am Freitag. “Damit werden Methoden beeinträchtigt, die wiederum der Reputation und dem Sicherheitsstatus der Website schaden können.”

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2019/02/19151457/subscribe2.jpg]

    Das Problem rührt von einer fehlenden Autorisierung für AJAX-Methoden im Plugin her. AJAX ist eine Reihe von Web-Entwicklungstechniken, die zum Erstellen von Webanwendungen verwendet werden; die AJAX-Methode wird verwendet, um eine AJAX-Anfrage durchzuführen.

    In diesem Fall prüft die AJAX-Methode nicht die Fähigkeit des Benutzers. Aus diesem Grund könnte der AJAX-Endpunkt, der eigentlich nur für Administratoren zugänglich sein sollte, auch Benutzern auf Abonnentenebene erlauben, eine Reihe von Aktionen durchzuführen, die die Sicherheit der Website gefährden können, so die Forscher. Ein Abonnent ist eine Benutzerrolle in WordPress, in der Regel die mit sehr begrenzten Fähigkeiten, einschließlich der Anmeldung auf der Website und das Verlassen Kommentare.

    Eine verwundbare Methode steht im Zusammenhang mit der Datei importConfigView.php. Ohne Autorisierung könnten Angreifer diese Methode nutzen, um eine Liste von Abonnenten von einer entfernten URL zu importieren, die dann in der Methode saveImportedSubscribers verarbeitet wird. Angreifer könnten auch die Datei importConfigView.php nutzen, um bösartige Dateien von der Remote-URL zu importieren. Die einzige Einschränkung ist, dass die Datei nur die erste Zeile der angegebenen Datei ausgibt, wenn es sich nicht um eine legitime CSV-Datei handelt (Dateien, die für den einfachen Export von Daten und den Import in andere Programme gedacht sind), so die Forscher. Eine andere verwundbare Methode erlaubt es Angreifern, einen Newsletter zu verschicken, indem sie Newsletter-Daten aus der $_POST[‘newsletterData’] Benutzereingabevariable zu erhalten.

    “Dies kann auch benutzerdefinierte E-Mail-Body-Inhalt, E-Mail-Absender und mehrere andere Attribute, die im Wesentlichen ein böswilliger Benutzer, um E-Mails an alle Abonnenten zu senden, ermöglichen”, sagte Forscher.

    Die Forscher merkten an, dass ein Nonce-Token geprüft wird – da dieses Nonce-Token jedoch an alle Benutzer unabhängig von ihren Fähigkeiten gesendet wird, kann jeder Benutzer die anfälligen AJAX-Methoden ausführen, solange er das Nonce-Token übergibt. Ein Nonce ist eine kryptografische Zahl, die von Authentifizierungsprotokollen verwendet wird, um private Kommunikation zu schützen, indem sie Replay-Angriffe verhindert.

    Forscher entdeckten den Fehler am 2. Dezember 2020 und benachrichtigten den Entwickler noch am selben Tag. Ein Patch für die Schwachstelle wurde am 22. Januar 2021 in Version 3.72 des Plugins veröffentlicht. In dieser Version haben die AJAX-Aktionen nun eine Berechtigungsprüfung, die Angreifer daran hindert, den Fehler auszunutzen.

    In WordPress-Plugins wurden schwerwiegende Sicherheitslücken gefunden. Anfang Januar warnten Forscher vor zwei Schwachstellen (eine davon kritisch) in einem WordPress-Plugin namens Orbit Fox, die es Angreifern ermöglichen könnten, bösartigen Code in anfällige Websites einzuschleusen und/oder die Kontrolle über eine Website zu übernehmen.

    Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook Healthcare Security Woes Balloon in a Covid-Era World , sponsored by ZeroNorth, herunter, um mehr darüber zu erfahren, was diese Sicherheitsrisiken für Krankenhäuser im Alltag bedeuten und wie Sicherheitsteams im Gesundheitswesen Best Practices implementieren können, um Anbieter und Patienten zu schützen. Holen Sie sich die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

    Einige Teile dieses Artikels stammen aus:
    threatpost.com