De Amerikaanse National Vulnerability Database publiceerde een advies over een XSS-kwetsbaarheid die de populaire Metform Elementor Contact Form Builder treft, waardoor meer dan 200.000 actieve installaties aan de kwetsbaarheid werden blootgesteld.

Opgeslagen cross-site scripting (XSS)

Een opgeslagen XSS-kwetsbaarheid is een kwetsbaarheid waarbij een website een invoer niet goed beschermt, zoals een indieningsformulier, waardoor een hacker een kwaadaardig script naar de server kan uploaden.

Het script wordt vervolgens gedownload en uitgevoerd door de browser van een sitebezoeker, waardoor de hacker de cookies van de bezoeker kan stelen of hun websitemachtigingen kan verkrijgen, wat kan leiden tot een overname van de website

Het non-profit Open Worldwide Application Security Project (OWASP) beschrijft de Cross Site Scripting-kwetsbaarheid:

“Een aanvaller kan XSS gebruiken om een ​​kwaadaardig script naar een nietsvermoedende gebruiker te sturen.

De browser van de eindgebruiker kan op geen enkele manier weten dat het script niet te vertrouwen is en zal in plaats daarvan het script uitvoeren.

Omdat het denkt dat het script afkomstig is van een vertrouwde bron, heeft het kwaadaardige script toegang tot alle cookies, sessietokens of andere gevoelige informatie die door de browser wordt bewaard en die met die site wordt gebruikt.

Er zijn verschillende soorten XSS-aanvallen.

De kwetsbaarheid die de plug-in voor contactformulieren van Elementor treft, wordt opgeslagen XSS genoemd omdat het kwaadaardige script wordt geladen en opgeslagen op de eigen servers van de website.

Wat deze kwetsbaarheid bijzonder zorgwekkend maakt, is dat het een niet-geverifieerde versie is, wat betekent dat de aanvaller geen enkele vorm van toestemming van de website nodig heeft om de aanval uit te voeren.

Deze specifieke kwetsbaarheid kreeg een dreigingsscore van 7,2 op een schaal van 1 tot 10, waarbij niveau 10 het hoogste niveau is.

Wat veroorzaakte de kwetsbaarheid

De kwetsbaarheid werd veroorzaakt door een coderingsprobleem in de plug-in die ongewenste vermeldingen via het contactformulier niet kon controleren en blokkeren.

Dit proces van het controleren en blokkeren van ongewenste uploads wordt opschonen genoemd.

Een tweede probleem was het falen van de plug-in om de door de plug-in verzonden gegevens te beschermen. Dit wordt de uitlaatopening genoemd.

WordPress publiceert een ontwikkelaarspagina over het datalek, waarin wordt uitgelegd:

“Output escapen is het proces waarbij uitvoergegevens worden beveiligd door ongewenste gegevens zoals HTML-tags of verkeerd opgemaakte scripts te verwijderen. Dit proces helpt uw ​​gegevens te beschermen voordat deze aan de eindgebruiker worden weergegeven”.

Het niet opschonen van ingangen om te ontsnappen aan uitgangen zijn de twee belangrijkste problemen die tot de kwetsbaarheid hebben geleid.

De waarschuwing van de National Vulnerability Database legt uit:

“De plug-in Metform Elementor Contact Form Builder voor WordPress is kwetsbaar voor cross-site scripts die zijn opgeslagen via tekstgebieden op formulieren in versies tot en met 3.1.2 vanwege onvoldoende opschoning van input en uitlaat.

Dit maakt het voor niet-geverifieerde aanvallers mogelijk om willekeurige webscripts in pagina’s te injecteren die worden uitgevoerd wanneer een gebruiker een geïnjecteerde pagina opent, de inzendingspagina.

Metform Elementor-plug-in is gepatcht

De Metform Elementor Contact Form Builder-editors hebben patches uitgegeven voor verschillende versies om de kwetsbaarheid te verhelpen.

Hier zijn de bijgewerkte versies van de plug-in en hun oplossingen:

Versie 3.2.0
Verbetering: beveiliging en desinfectie
Versie 3.2.2
Opgelost: probleem met beveiligingsmachtigingen voor REST API-eindpunt
Versie 3.2.3 (gepatcht op 03-06-2023)
Opgelost: ontsnappingsprobleem in handtekeningveld.
Opgelost: formulierverzending voor niet-geregistreerde gebruikersstatus.

WordPress-uitgevers die de Metform Elementor Contact Form Builder gebruiken, zouden moeten overwegen hun plug-in te upgraden naar versie 3.2.3, de versie die volledig is gepatcht.

Lees de melding op de website van de National Vulnerability Database:

CVE-2023-0084 Details

Lees de officiële plug-in changelog die de patches documenteert:

Metform Elementor contactformulier bouwer changelog

Source link