Websicherheit: Erneut Cross-Site-Scripting-Lücke in Wordpress entdeckt

In der Blog-Software Wordpress ist erneut eine Cross-Site-Scripting-Sicherheitslücke gefunden worden. Ursache ist eine Beispieldatei eines Icon-Sets. Betroffen sind das Default-Theme Twenty Fifteen und das Jetpack-Plugin.

Artikel veröffentlicht am , Hanno Böck
Das Icon-Set Genericons enthält eine Beispieldatei mit einer Sicherheitslücke.
Das Icon-Set Genericons enthält eine Beispieldatei mit einer Sicherheitslücke. (Bild: Screenshot / Genericons)

Zum dritten Mal innerhalb kurzer Zeit sind Nutzer von Wordpress-Blogs durch eine Cross-Site-Scripting-Sicherheitslücke bedroht. Die Firma Sucuri hat in einer Beispieldatei, die mit dem unter der GPL veröffentlichten Icon-Set Genericons mitgeliefert wurde, diese Lücke gefunden.

Twenty-Fifteen-Theme und Jetpack betroffen

Stellenmarkt
  1. Informatiker*in, Informationstechniker*in, Elektrotechniker*in mit Masterabschluss o. ä. (w/m/d)
    DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Oberpfaffenhofen
  2. Senior Security Consultant (m/w/d)
    NTT Germany AG & Co. KG, Bad Homburg
Detailsuche

Genericons wird von diversen Wordpress-Themes und Plugins verwendet, unter anderem vom Twenty-Fifteen-Theme, dem aktuellen Default-Theme von Wordpress. Auch Nutzer, die das Default-Theme nicht benutzen, sind von der Lücke betroffen. Es reicht bereits, dass das Theme installiert ist. Auch das beliebte Jetpack-Plugin nutzt Genericons und enthält eine verwundbare Beispieldatei.

Die älteren Default-Themes von Wordpress Twenty Fourteen und Twenty Thirteen verwenden Genericons ebenfalls, allerdings in einer älteren Verison, in der diese Lücke noch nicht vorhanden ist.

DOM-basierte XSS-Lücke

Bei der Lücke handelt es sich um eine sogenannte DOM-basierte Sicherheitslücke. Während die meisten Cross-Site-Scripting-Lücken so funktionieren, dass ein Server eine potenziell von einem Angreifer kontrollierte Variable ungefiltert an den Nutzer zurückgibt, finden DOM-basierte Lücken alleine im Client statt. Der eingeschleuste Javascript-Code wird durch den Anker-Paramter # an die URL angehängt und durch das in der Beispieldatei enthaltene Javascript ausgeführt.

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Netzwerktechnik Kompaktkurs
    8.-12. November 2021, online
  3. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
Weitere IT-Trainings

Die Ausnutzung der Lücke funktioniert nicht in allen Browsern. Chrome, Safari und der Internet Explorer besitzen einen Filter für sogenannte Reflected-XSS-Angriffe, also Cross-Site-Scripting-Angriffe, die direkt über die URL ausgelöst werden. Firefox hat jedoch bislang noch keinen derartigen XSS-Filter.

Wordpress hat die Version 4.2.2 veröffentlicht, in der das Problem behoben ist - die entsprechende Beispieldatei wird beim Update entfernt. Das betroffene Theme wird dabei auf die Version 1.2 aktualisiert. Wordpress versucht weiterhin zu erkennen, ob andere installierte Themes oder Plugins diese verwundbare Datei mitliefern. In den Release Notes von Wordpress 4.2.2 wird außerdem erwähnt, dass für eine andere Lücke, die in der vorherigen Version 4.2.1 bereits behoben worden war, ein vollständiger Fix implementiert wurde.

Jetpack verharmlost Problem

Jetpack hat das Problem in Version 3.5.3 behoben. Die Jetpack-Entwickler erwähnen in ihren Release Notes nicht, dass hier eine Sicherheitslücke behoben wurde, es ist lediglich von "Security Hardening" die Rede. Auch findet sich auf der Jetpack-Webseite kein Hinweis auf die Sicherheitslücke.

In Wordpress gab es zuletzt diverse Probleme mit Cross-Site-Scripting-Lücken. Kürzlich hatte der Sicherheitsforscher Jouko Pynnönen darüber berichtet, wie man mit einem überlangen Kommentar Javascript-Code in eine Seite einfügen konnte. Pikant daran war, dass Pynnönen behauptet, bereits vor vielen Monaten versucht zu haben, das Wordpress-Team auf dieses Problem hinzuweisen. Seine Kontaktversuche seien aber ignoriert worden. Kurz zuvor war bereits eine Cross-Site-Scripting-Lücke in zahlreichen beliebten Plugins entdeckt worden.

Content Security Policy würde helfen

Cross-Site-Scripting-Probleme, häufig als XSS abgekürzt, gehören zu den häufigsten Sicherheitslücken in Webanwendungen. Ein in modernen Browsern unterstützter HTTP-Header namens Content Security Policy kann - richtig angewendet - nahezu alle Cross-Site-Scripting-Lücken verhindern. Allerdings nutzen bisher nur wenige Webanwendungen diesen Header, da die Umstellung von bestehenden Anwendungen sehr aufwändig ist. Auch Wordpress nutzt Content Security Policy bislang nicht. Angesichts der Vielzahl an Problemen mit Cross-Site-Scripting-Lücken sollte Wordpress das dringend nachholen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Macbook Pro
Apple bestätigt High Power Mode für M1 Max

Käufer des Macbook Pro mit M1 Max können wohl in MacOS Monterey per Klick noch mehr Leistung aus dem Gerät herausholen.

Macbook Pro: Apple bestätigt High Power Mode für M1 Max
Artikel
  1. Bundesregierung: Autobahn App 2.0 im ersten Quartal 2022 geplant
    Bundesregierung
    Autobahn App 2.0 im ersten Quartal 2022 geplant

    Die Opposition kritisiert die massiven Kosten, Nutzer bewerten die App schlecht. Dennoch soll die Autobahn App nun erweitert werden.

  2. Klage: Google soll E-Privacy und Werbemarkt manipuliert haben
    Klage
    Google soll E-Privacy und Werbemarkt manipuliert haben

    Mehrere US-Bundesstaaten haben Klage gegen Google eingereicht. Das Unternehmen rühmt sich derweil, Regulierungen verlangsamt zu haben.

  3. Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
    Silence S04
    Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

    Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Gutscheinheft mit Direktabzügen und Zugaben • Nur noch heute: Mehrwertsteuer-Aktion bei MediaMarkt • Roccat Suora 43,99€ • Razer Goliathus Extended Chroma Mercury ab 26,99€ • Seagate SSDs & HDDs günstiger • Alternate (u. a. ASUS ROG Strix Z590-A Gaming WIFI 258€) [Werbung]
    •  /