WordPress hat ein Sicherheitsupdate zur Behebung von sechzehn Sicherheitslücken veröffentlicht und empfiehlt, dass Websites sofort aktualisiert werden.
Der Sicherheitshinweis enthielt keine Beschreibung des Schweregrads der Sicherheitslücken. Angesichts der von WordPress bestätigten Arten von Sicherheitslücken und der großen Anzahl von Sicherheitslücken ist es jedoch ratsam, diese Sicherheitsmitteilung ernst zu nehmen.
Von WordPress gepatchte Schwachstellen
In dieser Sicherheitsversion werden insgesamt sechzehn Sicherheitslücken behoben, und zwar mehrere Arten von Sicherheitslücken.
Dies ist eine Liste der behobenen Sicherheitslücken:
9 XSS-Probleme, von denen 6 Stored XSS sind
2 E-Mail-bezogene Sicherheitslücken
1 Anfälligkeit für Cross Site Request Forgery
1 SQL-Injection
1 Datenexposition (REST-Endpunkt)
1 Offene Weiterleitung
1 Umkehrung gemeinsam genutzter Benutzerinstanzen (Funktion, die vermutlich eine Sicherheitslücke einführte)
6 Stored XSS-Schwachstellen
Bei einer gespeicherten XSS-Schwachstelle wird die Nutzlast hochgeladen und auf den Servern der Website des Opfers gespeichert.
Eine XSS-Schwachstelle tritt im Allgemeinen überall dort auf, wo WordPress eine Eingabe oder einen Upload zulässt.
Diese Art von Schwachstelle entsteht durch einen Fehler im Code, bei dem der Eingabepunkt nicht angemessen filtert, was hochgeladen werden kann, was dazu führt, dass ein bösartiges Skript oder eine andere unerwartete Datei hochgeladen werden kann.
Die gemeinnützige Sicherheitsseite Open Web Application Security Project (OWASP) beschreibt diese Art von Schwachstelle:
„Gespeicherte Angriffe sind solche, bei denen das eingeschleuste Skript dauerhaft auf den Zielservern gespeichert wird, z. B. in einer Datenbank, in einem Nachrichtenforum, Besucherprotokoll, Kommentarfeld usw.
Das Opfer ruft dann das bösartige Skript vom Server ab, wenn es die gespeicherten Informationen anfordert.“
Cross-Site Request Forgery
Eine Cross-Site Request Forgery (CSRF) beruht auf etwas Social Engineering, um einen hochrangigen Website-Benutzer mit administrativen Rechten dazu zu bringen, eine Aktion durchzuführen, z. B. einem Link zu folgen.
Diese Art von Schwachstelle kann dazu führen, dass ein Administrator Aktionen durchführt, die die Website gefährden können.
Sie kann sich auch auf normale Website-Benutzer auswirken, indem sie einen Benutzer dazu veranlasst, seine Anmelde-E-Mail zu ändern oder Geld abzuheben.
Open Redirect innerhalb von `wp_nonce_ays`
Ein Open Redirect ist eine Schwachstelle, bei der ein Hacker einen Redirect ausnutzen kann.
In diesem Fall handelt es sich um eine Weiterleitung im Zusammenhang mit einer „Sind Sie sicher“-Meldung zur Bestätigung einer Aktion.
Die offizielle WordPress-Beschreibung für diese Funktion lautet:
„Wenn die Aktion die Meldung „nonce explain“ enthält, wird sie zusammen mit der Meldung “ Sind Sie sicher?“ angezeigt.“
Ein Nonce ist ein Sicherheits-Token, das von der WordPress-Website generiert wird.
Der offizielle WordPress-Codex definiert nonces:
„Ein Nonce ist eine „einmalig verwendete Zahl“, die dazu dient, URLs und Formulare vor bestimmten Arten des Missbrauchs zu schützen, seien sie böswillig oder nicht.
WordPress-Nonces sind keine Zahlen, sondern ein Hash, der aus Zahlen und Buchstaben besteht.
…Die Sicherheits-Token von WordPress werden „Nonces“ genannt, weil sie dem gleichen Zweck dienen wie Nonces.
Sie schützen vor verschiedenen Arten von Angriffen, einschließlich CSRF, schützen aber nicht vor Wiederholungsangriffen, da sie nicht auf einmalige Verwendung geprüft werden.
Nonces sollten niemals zur Authentifizierung, Autorisierung oder Zugriffskontrolle verwendet werden.
Schützen Sie Ihre Funktionen mit current_user_can(), und gehen Sie immer davon aus, dass Nonces kompromittiert werden können.“
WordPress beschreibt nicht genau, worum es sich bei dieser Sicherheitslücke handelt.
Aber Google hat eine Beschreibung veröffentlicht, was eine offene Umleitungsschwachstelle ist:
„Dies ist eine besonders schwerwiegende Form des Missbrauchs, da die Funktionalität Ihrer Website ausgenutzt wird, anstatt einen einfachen Fehler oder eine Sicherheitslücke auszunutzen.
Spammer hoffen, Ihre Domain als temporäre „Landing Page“ zu nutzen, um E-Mail-Nutzer, Suchende und Suchmaschinen dazu zu bringen, Links zu folgen, die scheinbar auf Ihre Website verweisen, in Wirklichkeit aber auf ihre Spam-Site umleiten.“
In Anbetracht der Tatsache, dass diese Schwachstelle eine sensible sicherheits- und zugangsbezogene Funktion betrifft, könnte sie ziemlich ernst sein.
SQL Injection durch unsachgemäße Bereinigung in `WP_Date_Query`
Hierbei handelt es sich um eine Schwachstelle, bei der der Angreifer Daten direkt in die Datenbank eingeben kann.
Eine Datenbank ist im Grunde das Herzstück einer WordPress-Website, in der Passwörter, Beiträge usw. gespeichert werden.
Unsachgemäße Bereinigung ist ein Verweis auf eine Sicherheitsprüfung, die Eingaben einschränken soll.
SQL-Injection-Angriffe werden als sehr schwerwiegend angesehen, da sie dazu führen können, dass die Website kompromittiert wird.
OWASP warnt:
„SQL-Injection-Angriffe ermöglichen es Angreifern, ihre Identität vorzutäuschen, vorhandene Daten zu manipulieren, Probleme bei der Ablehnung von Transaktionen zu verursachen (z. B. Stornierung von Transaktionen oder Änderung von Kontoständen), die vollständige Offenlegung aller Daten auf dem System zu ermöglichen, die Daten zu zerstören oder anderweitig unzugänglich zu machen und Administratoren des Datenbank-Servers zu werden.
…Der Schweregrad von SQL-Injection-Angriffen wird durch das Geschick und die Vorstellungskraft des Angreifers und in geringerem Maße durch Gegenmaßnahmen zur Verteidigung in der Tiefe, wie z. B. Verbindungen mit niedrigen Berechtigungen zum Datenbankserver usw., begrenzt. Im Allgemeinen ist SQL Injection als ein schwerwiegender Angriff zu betrachten.
WordPress Sicherheitsrelease
In der WordPress-Warnung heißt es, dass dieses Sicherheitsupdate alle Versionen ab WordPress 3.7 betrifft.
Nirgendwo in der Ankündigung wurden Details zum Schweregrad der Sicherheitslücken genannt.
Es ist jedoch wahrscheinlich nicht übertrieben zu sagen, dass sechzehn Sicherheitslücken, darunter sechs gespeicherte XSS- und eine SQL-Injection-Schwachstelle, Anlass zur Sorge geben.
WordPress empfiehlt, Websites sofort zu aktualisieren.