De National Vulnerability Database heeft aangekondigd dat een populaire Google Analytics WordPress-plug-in die door meer dan 3 miljoen gebruikers is geïnstalleerd, is ontdekt met een Stored Cross-Site Scripting (XSS)-kwetsbaarheid.
Opgeslagen XSS
Een Cross-Site Scripting (XSS)-aanval vindt over het algemeen plaats wanneer een deel van de website dat gebruikersinvoer accepteert, onveilig is en onbedoelde invoer zoals scripts of links toestaat.
De XSS-kwetsbaarheid kan worden misbruikt om ongeoorloofde toegang tot een website te krijgen en kan leiden tot diefstal van gebruikersgegevens of een volledige overname van de site.
Het non-profit Open Worldwide Application Security Project (OWASP) beschrijft hoe de XSS-kwetsbaarheid werkt:
“Een aanvaller kan XSS gebruiken om een kwaadaardig script naar een nietsvermoedende gebruiker te sturen. De browser van de eindgebruiker kan niet weten dat het script niet te vertrouwen is en zal het script uitvoeren.
Omdat het denkt dat het script afkomstig is van een vertrouwde bron, heeft het kwaadaardige script toegang tot alle cookies, sessietokens of andere gevoelige informatie die door de browser wordt bewaard en die met die site wordt gebruikt.
Een opgeslagen XSS, wat mogelijk nog erger is, is er een waarbij het kwaadaardige script wordt opgeslagen op de eigen servers van de website.
De plug-in, MonsterInsights – Google Analytics Dashboard voor WordPress, bleek de opgeslagen XSS-versie van de kwetsbaarheid te bevatten.
MonsterInsights – Google Analytics-dashboard voor WordPress-kwetsbaarheid
De Google Analytics MonsterInsights-plug-in is geïnstalleerd op meer dan drie miljoen websites, waardoor deze kwetsbaarheid nog zorgwekkender is.
WordPress-beveiligingsbedrijf Patchstack, dat de kwetsbaarheid ontdekte, heeft details vrijgegeven:
“Rafie Muhammad (Patchstack) ontdekte en rapporteerde deze Cross Site Scripting (XSS) kwetsbaarheid in WordPress Google Analytics door MonsterInsights Plugin.
Hierdoor kan een kwaadwillende actor kwaadaardige scripts zoals omleidingen, advertenties en andere HTML-payloads in uw website injecteren, die worden uitgevoerd wanneer gasten uw site bezoeken.
Deze kwetsbaarheid is verholpen in versie 8.14.1.
De MonsterInsights plug-in changelog in de WordPress plug-in repository gaf een ietwat vage uitleg van de beveiligingspatch:
“Opgelost: een PHP-waarschuwingsbug gerepareerd en extra beveiligingsversterking toegevoegd.”
Een “beveiligingsverharding” is een term die kan worden toegepast op veel taken die verband houden met het verminderen van aanvalsvectoren, zoals het verwijderen van het versienummer.
WordPress heeft een volledige beveiligingshardende pagina gepubliceerd die beveiligingshardende taken aanbeveelt, zoals regelmatige databaseback-ups, het verkrijgen van thema’s en plug-ins van vertrouwde bronnen en het gebruik van sterke wachtwoorden.
Al deze activiteiten verscherpen de beveiliging.
Dit is de reden waarom het gebruik van de uitdrukking “beveiligingsverharding” een algemene, generieke term is die wordt gebruikt voor zoiets specifieks (en belangrijks) als het patchen van een XSS-beveiligingslek, wat ertoe kan leiden dat een gebruiker het updaten van zijn plug-in overslaat.
Aangeraden actie
Patchstack raadt alle gebruikers van de MonsterInsights Analytics-plug-in aan om hun WordPress-plug-in onmiddellijk bij te werken naar de nieuwste versie of in ieder geval versie 8.14.1.
Lees de aankondiging van de Amerikaanse National Vulnerability Database:
CVE-2023-23999 Detail
Lees de aankondiging van Patchstack:
WordPress Google Analytics door MonsterInsights Plugin <= 8.14.0 is kwetsbaar voor Cross Site Scripting (XSS)
Hey, ik ben Brent, en ik speel al een lange tijd mee in de SEO scene. Ik ben vooral heel actief in de Amerikaanse markt, en hou dan ook wel van een uitdaging. Ik ben sinds kort aan het uitbreiden binnenin de Benelux, en besluit hier dan ook te oversharen!
Wil je meer leren, klik dan op lees meer!
