rotes Megafon für Ankündigungen

HTML-Injection Schwachstelle bei WordPress Plugin WPForms

Die Sicherheitsforscher von aramido deckten im WordPress Plugin WPForms vom gleichnamigen Unternehmen eine HTML-Injection Sicherheitslücke auf. Das Plugin ermöglicht Nutzern des sehr weit verbreiteten Content Management Systems WordPress das einfache Erstellen von Formularen, wie beispielsweise einem Kontaktformular. Sicherheitslücken wie diese treten bei Webseiten mit Eingabefeldern immer wieder auf, obwohl sie seit langem als eines der häufigsten Sicherheitsrisiken für Webanwendungen gelten. Nach den aramido Richtlinien zum verantwortlichen Offenlegen von Sicherheitslücken meldete aramido die Schwachstelle an den Hersteller zur Behebung, was laut WPForms, LLC. in der Zwischenzeit erfolgt ist. Der von aramido formulierte Sicherheitshinweis kann zudem öffentlich eingesehen werden.

Ein mit WPForms erstelltes WordPress Kontaktformular aus der Vorlage Einfaches Kontaktformular besteht aus den Feldern Name, E-Mail und Kommentar oder Nachricht. Wird das Kontaktformular ausgefüllt und abgeschickt, wird an einen vordefinierten Empfänger eine E-Mail gesendet, welche die Inhalte der drei Felder enthält. Dabei filtert WPForms mit der WordPress Funktion sanitize_text_field HTML-Tags heraus. Diese Filterung entfernt erkannte HTML-Tags aus der Nachricht, jedoch wird diese Filterung nur einmalig durchgeführt, was eine HTML-Injection ermöglichte. Durch das verschachtelte Injizieren von weiteren HTML-Tags konnten die Sicherheitsforscher von aramido die Filterung umgehen. Die von WPForms an den vordefinierten Empfänger gesendete E-Mail hätte man so mit gefälschten Inhalten wie beispielsweise einem Klicken-Sie-hier-zum-Antworten-Knopf ausstatten können und den Empfänger so auf eine vorbereitete Phishing Seite locken.

Zur Behebung einer Schwachstelle dieses Typs ist es nötig, auf folgenden Ebenen nachzubessern:

  1. Validierung aller Benutzereingaben mit einer entspechenden Fehlerbehandlung.
  2. Escaping der Inhalte gemäß des Zielsystems, in diesem Fall HTML.

Die gefundene Schwachstelle wurde bei der Version 1.5.9.5 von WPForms festgestellt. Das Update auf die korrigierte Version 1.6.0.1 steht in WordPress zur Installation bereit. aramido hat die neue Version geprüft und konnte die Sicherheitslücke in diese Form nicht mehr feststellen. Darüber hinaus empfiehlt aramido Härtungsmaßnahmen durchzuführen, also das eigene IT-System gegen den hier beschriebenen Angriff weiter abzusichern und beispielsweise E-Mails aus mit Inhalten von öffentlich zugänglichen Feldern als Nur-Text E-Mails anzuzeigen.


aramido bei der Bunten Nacht der Digitalisierung

aramido ist Partner der Bunten Nacht der Digitalisierung und lädt am 11.10.19 zu Live Hacking-Vorträgen, inter­aktiven Workshops und anregenden Gesprächen ein. (weiterlesen)

Cold Boot-Angriff: Festplattenverschlüsselung ade

aramido demonstriert den aktuellen Stand zum Cold Boot-Angriff und zeigt, wie dadurch die Festplattenverschlüsselung ausgehebelt werden kann. (weiterlesen)

HTTP Security Header schützen Ihre Besucher

Secu­rity Hea­der schü­tzen die Be­nutzer von Web­sei­ten und er­wei­tern die De­fense-In-Depth. Wir zei­gen, wie sie ein­ge­setzt wer­den und welche Wir­kung sie ha­ben. (weiterlesen)

Wie finde ich einen Job in der Informationssicherheit?

Informations­sicher­heit: Ein span­nen­des Feld mit ge­sell­schaft­li­cher Relevanz und vielversprechenden Ver­dienst­aus­sich­ten. Was soll­ten In­teres­sierte mit­brin­gen? (weiterlesen)

Was sind die OWASP Top 10 - 2017?

Die OWASP Top 10 - 2017 be­schrei­ben die zehn häu­figs­ten Sicher­heits­risi­ken für Web­an­wen­dun­gen. Sie helfen Ent­wicklern An­wen­dun­gen sicher um­zu­setzen. (weiterlesen)

Wo ist die Knautschzone von IT-Systemen?

Sol­len Siche­rheits­vor­fälle ver­hin­dert oder er­war­tet wer­den? Die­se Fra­ge be­ant­wortet ara­mido-Ge­schäfts­führer An­dre­as Sperber auf in­for­ma­tik-aktuell.de (weiterlesen)

Keynote: IT-Symposium auf dem Schloss Haigerloch

aramido hielt die Key­note zum 15. IT-Sym­po­sium auf dem Schloss Haigerloch: vier Para­dig­men für die In­for­mations­sicher­heit von morgen. (weiterlesen)

Vertrauen ist gut. Kontrolle ist besser.

Andreas Sperber hat auf der 17. GPN über Ver­trauens­proble­me in PKIs gespro­chen. Mit "Ver­trauen ist gut. Kon­trolle ist bes­ser." ruft er Dienst­betrei­ber zum han­deln auf. (weiterlesen)

Warum vertrauen wir Zertifizierungsstellen?

Zertifizierungs­stellen sind eine wesent­liche Kom­po­nen­te im heu­ti­gen World Wide Web. Wir schen­ken Ihnen großes Ver­trauen trotz besor­gnis­er­regen­der Vor­komm­nisse. (weiterlesen)

Wozu dient ein Penetrationstest?

Durch einen Pene­trations­test wird das Angriffs­poten­tial auf IT-Sys­teme über­prüft. Schwach­stellen wer­den beho­ben und da­durch die IT-Sicher­heit gestei­gert. (weiterlesen)

Workshop: IT-Sicherheit@Mittelstand bei der IHK Gießen-Friedberg

Der IT-Sicher­heits­exper­te Andreas Sperber spricht am 06.10.2016 vor der IHK Gießen-Friedberg zum The­ma IT-Sicher­heit@Mittel­stand und zeigt Wege hierfür auf. (weiterlesen)

Acht Gründe für einen Penetrationstest

Mit einem Pene­trations­test wird die Ver­wund­bar­keit von Sys­te­men ge­prüft. Wir ge­ben acht Grün­de, warum Pene­tra­tions­tests für Un­ter­neh­men wich­tig sind. (weiterlesen)

Was ist ein Penetrationstest?

IT ist ein fes­ter Be­stand­teil un­se­res Le­bens. Ha­cker nu­tzen Schwach­stel­len aus, um da­raus Pro­fit zu schla­gen. Pe­ne­tra­tions­tests ver­bes­sern IT-Sicherheit. (weiterlesen)

Infektion durch einen Kryptovirus

Im aramido Sicher­heits­labor haben wir uns mit einem Ver­schlüs­selungs­tro­janer infi­ziert und zei­gen, was ein Krypto­locker mit Ihren Da­ten an­rich­ten wür­de. (weiterlesen)

Kidnapping 2.0 - Verschlüsselungstrojaner auf dem Vormarsch

Kryptotrojaner richten bei Unter­nehmen große Schäden an. Mit der Artikel­serie zum Thema Ransom­ware berichtet aramido über Hinter­gründe zur akuten Be­drohungs­lage (weiterlesen)

Piwik Security – Webanwendungen sicher analysieren

Das aramido-Best-Practice zu Piwik zeigt, auf was man beim Einsatz des Web­ana­lyse-Tools ach­ten sollte. Die Piwik-Se­cu­rity-Check­liste hilft beim Ab­si­chern Ihrer Piwik-Installa­tion. (weiterlesen)

aramido-Blog für IT-Sicherheit

Der aramido-Blog be­richtet regel­mäßig zur IT-Sicher­heit. Abon­nieren Sie den Feed zu Pen­tests, Sicher­heit von Web­anwen­dungen und weite­ren inte­res­santen The­men. (weiterlesen)