Wordpress-Plug-in Anti-Spam by Cleantalk gefährdet 200.000 Seiten
Im Wordpress-Plug-in Anti-Spam by Cleantalk klaffen gleich zwei Sicherheitslücken, durch die nicht authentifizierte Angreifern Instanzen kompromittieren können.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Das Wordpress-Plug-in Anti-Spam by Cleantalk kommt auf mehr als 200.000 Wordpress-Seiten zum Einsatz. Darin wurden zwei kritische Sicherheitslücken entdeckt, die Angreifern aus dem Netz ohne vorherige Authentifizierung ermöglichen, verwundbare Instanzen vollständig zu kompromittieren.
Die IT-Sicherheitsforscher von Wordfence haben eine Sicherheitslücke extern gemeldet bekommen, durch die Angreifer die Autorisierung aufgrund einer Reverse-DNS-Spoofing-Schwachstelle in Anti-Spam by Cleantalk umgehen können. Nicht authentifizierte Angreifer können dadurch auf angreifbaren Wordpress-Instanzen beliebige Plug-ins installieren und aktivieren und somit am Ende beliebigen Code ausführen (CVE-2024-10542, CVSS 9.8, Risiko "kritisch"). Die Wordfence-Analysten haben kurz darauf eine gleichartige Sicherheitslücke in dem Plug-in mit denselben Auswirkungen entdeckt (CVE-2024-10781, CVSS 9.8, kritisch).
Zwei ähnliche Sicherheitslücken
Das Plug-in kann auf Anfragen aus der Ferne (Remote Calls) reagieren und Aktionen wie die Installation von weiteren Plug-ins ausführen. Um zu prüfen, ob ein Aufruf legitim ist, prüft das Plug-in die rückwärts aufgelöste IP-Adresse mittels der Funktion strpos(), ob an beliebiger Stelle des Namens "cleantalk.org" auftaucht. Dadurch lässt sich mit einer Subdomain die Prüfung faktisch ausschalten: cleantalk.org.boese.domain darf diese Plug-in-Funktionen aufrufen und ausführen.
Das Plug-in autorisiert Token nach erfolgreichem Vergleich des Hash-Wertes mit dem API-Key, erörtert Wordfence die zweite Sicherheitslücke. Der Plug-in-Code verhindert jedoch die Autorisierung nicht, wenn der API-Key leer ist. Sofern der API-Key noch nicht konfiguriert wurde, können Angreifer sich autorisieren, indem sie einen Token schicken, der dem leeren Hash-Wert entspricht und können ebenfalls die Plug-in-Funtkionen etwa zur Installation weiterer Plug-ins aufrufen.
Betroffen ist Anti-Spam by Cleantalk vor der vollständig korrigierten Version 6.45, die Mitte November veröffentlicht wurde. Die Version 6.44 korrigiert lediglich die erste der beiden Schwachstellen, die unzureichende Reverse-DNS-Prüfung. Admins, die das Cleantalk-Plug-in nutzen, sollten überprüfen, ob sie die aktuelle Fassung mit den Fehlerkorrekturen einsetzen.
Wordpress-Plug-ins gefährden immer wieder die Sicherheit von Instanzen. 200.000 bedrohte Webseiten mit dem Anti-Spam-Plug-in sind bereits eine Menge, aber andere Plug-ins mit Sicherheitslücken kommen sogar auf 4.000.000 Installationen, wie das Plug-in Really Simple Security, in dem vor rund zwei Wochen eine kritische Lücke bekannt wurde. Noch weitreichender sind Sicherheitslücken im Wordpress-Plug-in Litespeed Cache – das ist auf rund 6.000.000 Wordpress-Instanzen im Einsatz.
(dmk)