Ein Sicherheitsforscher hat eine kritische Schwachstelle im WP-Members Membership Plugin für WordPress entdeckt, die es Angreifern ermöglicht, schädliche Skripte einzuschleusen und möglicherweise die Kontrolle über Websites zu übernehmen.
Diese spezifische Sicherheitslücke, bekannt als unauthentifizierte gespeicherte Cross-Site-Scripting (XSS)-Schwachstelle, findet sich im X-Forwarded-Header und könnte von Administratoren zum Schutz ihrer Nutzer ausgenutzt werden. Für ihre verantwortungsvolle Offenlegung wurden die Forscher belohnt.
Am 7. März veröffentlichte der Plugin-Entwickler zunächst einen Teil-Patch (Version 3.4.9.2) und kurz darauf einen vollständigen Fix (Version 3.4.9.3), um das Risiko zu mindern. Nutzer des Plugins werden dringend dazu aufgefordert, auf die neueste Version zu aktualisieren, um sich gegen diese Sicherheitsbedrohung zu schützen.
Die Schwachstelle (CVSS: 7.2) resultiert aus einer unzureichenden Bereinigung und Absicherung des X-Forwarded-Headers in den Plugin-Versionen bis einschließlich 3.4.9.2. Angreifer können dies ausnutzen, um willkürliche Skripte in die Datenbank einzuschleusen, die dann ausgeführt werden, sobald ein Benutzer die Seite zur Bearbeitung eines Nutzerkontos aufruft.
Eine technische Analyse der Sicherheitslücke zeigt, dass Angreifer die XSS-Schwachstelle in WP-Members ausnutzen können, indem sie während der Nutzerregistrierung schädlichen Code in den X-Forwarded-Header einfügen. Dies wird erreicht, indem der Registrierungsantrag mit einem Proxy abgefangen und modifiziert wird, um das Skript des Angreifers einzufügen. Das anfällige Plugin speichert dann das vom Angreifer bereitgestellte Skript als IP-Adresse des Nutzers, was bei der Anzeige dieser Nutzerinformationen zur Ausführung des Skripts führt.
Wordfence hat den Entwickler kontaktiert und an der Erstellung eines Patches mitgewirkt. Während Version 3.4.9.2 einen Teil des Problems behob, wurden bestehende Payloads weiterhin ausgelöst. Erst mit Version 3.4.9.3 wurde die Schwachstelle vollständig behoben. Nutzer des Plugins sollten dringend auf die neueste Version aktualisieren und diese Informationen mit anderen Nutzern des Plugins teilen.