WordPress: SicherheitslĂĽcken in millionenfach installiertem Plugin Autoptimize
Nutzer des Plugins Autoptimize sollten dieses zügig auf 2.7.7 updaten. Für eine von zwei geschlossenen Lücken soll demnächst Demo-Code veröffentlicht werden.
Die Entwickler des WordPress-Optimierungs-Plugins Autoptimize haben eine neue Version bereitgestellt, die zwei SicherheitslĂĽcken beseitigt.
Über Schweregrad und Angriffsmöglichkeiten ist bislang wenig bekannt. Angesichts der Tatsache, dass der Entdecker einer der Lücken Anfang September Proof-of-Concept-Code veröffentlichen will, ist ein zügiges Update aber in jedem Fall ratsam. Da das Plugin auf über einer Million WordPress-Websites läuft, könnte es mit dem passenden Exploit zu einem lohnenden Ziel für Angriffe in großem Stil werden.
Verwundbar sind alle Autoptimize-Versionen vor der aktuellen Version 2.7.7, die seit drei Tagen auf wordpress.org zum Download bereitsteht.
Remote Code Execution bei ausreichenden Rechten
Im Changelog zu Autoptimize 2.7.7 werden die Lücken nur sehr knapp erwähnt. Demnach handelt es sich zum einen um eine Cross-Site-Scripting-Schwachstelle, die nach vorheriger Authentifizierung ausnutzbar ist. heise Security hat die Entdeckerin der Lücke um nähere Informationen gebeten; eine Antwort steht noch aus.
Zur zweiten Lücke, die die Autoptimize-Entwickler als "authenticated malicous file upload vulnerability" bezeichnen, liefert ein Eintrag auf wpvulndb.com weitere Details. Auch diese Lücke erfordere eine Authentifizierung, und zwar als Nutzer mit nicht näher definierten "hohen Privilegien". Sind diese vorhanden, könnte ein Angreifer über eine vom Plugin bereitgestellte Upload-Funktion statt eines eigentlich erwarteten ZIP-Archivs ausführbaren (PHP-)Code hochladen, der dann auf dem Webserver zur Ausführung käme. Schuld seien mangelhafte Überprüfungsmechanismen im AJAX-Aufruf ao_ccss_import.
PoC-Code fĂĽr den 7. September angekĂĽndigt
Der Proof-of-Concept werde am 7. September 2020 veröffentlicht werden, um Nutzern ausreichend Zeit zum Updaten zu geben, heißt es in dem wpvulndb.com-Eintrag. Um auf Nummer sicher zu gehen, sollten Autoptimize-Nutzer diese Frist auch angesichts der zweiten Lücke nicht abwarten, sondern lieber sofort handeln.
Weitere kĂĽrzlich geschlossene LĂĽcken in WordPress-Plugins haben wir in einer separaten Meldung thematisiert:
. (ovw)