Mehrere Sicherheitslücken in WooCommerce Plugins
Eine XSS-Sicherheitslücke im Plugin WooCommerce Subscriptions wurde öffentlich. Damit war es war möglich mit einer simplen Cross-Site-Scripting Eingabe Javascript im Browser des Admins auszuführen. Und ein richtig dickes Ding im Plugin Email Verification for WooCommerce: durch einen fehlerhaften Abgleich des Codes in E-Mail Bestätigung nach einer Benutzeranmeldung Anmeldung war es mit einem Trick möglich sich Administrator-Rechten einzuloggen. Ein Update ist dringend empfohlen.
WooCommerce als beliebtes Shop-Plugin im WordPress-Universum ist immer wieder Ziel von Hacking-Angriffen. Auch aufgrund seiner Komplexität und einer Vielzahl an WooCommerce Plugins finden Angreifer immer wieder Möglichkeiten um Schwachstellen auszunützen.
WooCommerce Subscriptions
Alle Versionen vor 2.6.3 sind betroffen. Im dem vom WooCommerce Plugin bereitgestellten Anmeldeformular konnte man im Feld “Zahlungsinformation” (Billing Subscriptions) Javascript platzieren:
><img src=a onerror=alert("XSS Schwachstelle")>
Das hier ist relativ simpel: die Eingabe wird mit einem schließenden Tag begonnen um danach Schadcode in einem neuen Tag zu injizieren. Bei ungefilterter Übernahme der Benutzereingabe wird der Code auf der darstellenden Seite ausgeführt. Hier im Beispiel wurde im Dashboard das Javascript ungefiltert beim Überfahren mit der Maus in der Übersicht gestartet. In diesem Fall ging nur ein Popup mit dem Text “XSS Schwachstelle” auf, aber damit war es potentiell möglich schadhaftes Javascript einzuschleusen, das dann im Browser von einem eingeloggten Administrator-Benutzer mit Vollzugriff ausgeführt wird. Die potentiellen Möglichkeiten sind vielfältig und ein gutes Beispiel eines solchen Angriffs ist in dem Artikel “WordPress Sicherheitslücke: Großangriff auf fast 900000 Systeme” genauer dargestellt.
Email Verification for WooCommerce
Ein sogenannter “AUTHBYPASS” betrifft die Plugin-Version kleiner 1.8.2. Bei einer bestimmten Änderung im E-Mail-Verifikations-Link wurde das neu angemeldete Kundenkonto mit der Rolle “Administrator” versehen. Das proof-of-concept wird hier nicht veröffentlicht um den Nutzern der Plugins die Zeit für ein Update zu geben. So etwas ist besonders gefährlich weil ohne System- und Programmierkenntnisse einer sehr einfachen Anleitung gefolgt werden kann und schon hat jedes Script-Kiddie ein Admin-Konto mit Vollzugriff. CVE: https://cwe.mitre.org/data/definitions/287.html
Was sollte man tun um WordPress Sicherheitslücken vorzubeugen?
Ganz einfach: das WordPress CMS ist regelmäßig zu Warten: alle WooCommerce Plugins, sonstige Plugins und Themes auf dem neuesten Stand halten und zusätzlich ist es sinnvoll regelmäßige Backups der Dateien und der Datenbank zu haben. Außerdem sollten alle Plugins überprüft werden wie wichtig sie sind bzw. nicht benötigte Plugins sowie Themes zu löschen und nicht nur zu deaktivieren. Damit werden sie komplett aus dem Dateisystem entfernt. Die Mehrheit der Angriffe zielen auf WordPress Sicherheitslücken ab, die vor Monaten oder teilweise Jahren öffentlich bekannt und in neueren Versionen gepatcht wurden.
15 Jahre Erfahrung mit WordPress
Seit WordPress 1.2 (Mai 2004).
Hilfe bei Fehlern oder Problemen mit WordPress, Plugins, Themes, Widgets, Snippets und vielem mehr!
Du hast in Tom einen kompetenten Web-Developer mit umfangreichen Programmierkenntnissen als Ansprechpartner.
Tom hilft Dir schnell und unkompliziert!
Klicke auf das Chat-Symbol unten rechts oder hinterlasse eine Nachricht über das unten stehende Formular.
Sende Tom eine Email und er meldet sich bald möglichst
Versuche Dein Anliegen konkret zu beschreiben:
Telefonischer WordPress Support
Tom im Büro anrufen unter:
Telefon: +49 (0)7961 / 564237
(Festnetz; Kosten abhängig von Deinem Tarif)
Tom ist nicht immer telefonisch zu erreichen. Sende in dem Fall Deine Telefonnummer über das Kontaktformular .