rotes Megafon fĂŒr AnkĂŒndigungen

HTML-Injection Schwachstelle bei WordPress Plugin WPForms

Die Sicherheitsforscher von aramido deckten im WordPress Plugin WPForms vom gleichnamigen Unternehmen eine HTML-Injection SicherheitslĂŒcke auf. Das Plugin ermöglicht Nutzern des sehr weit verbreiteten Content Management Systems WordPress das einfache Erstellen von Formularen, wie beispielsweise einem Kontaktformular. SicherheitslĂŒcken wie diese treten bei Webseiten mit Eingabefeldern immer wieder auf, obwohl sie seit langem als eines der hĂ€ufigsten Sicherheitsrisiken fĂŒr Webanwendungen gelten. Nach den aramido Richtlinien zum verantwortlichen Offenlegen von SicherheitslĂŒcken meldete aramido die Schwachstelle an den Hersteller zur Behebung, was laut WPForms, LLC. in der Zwischenzeit erfolgt ist. Der von aramido formulierte Sicherheitshinweis kann zudem öffentlich eingesehen werden.

Ein mit WPForms erstelltes WordPress Kontaktformular aus der Vorlage Einfaches Kontaktformular besteht aus den Feldern Name, E-Mail und Kommentar oder Nachricht. Wird das Kontaktformular ausgefĂŒllt und abgeschickt, wird an einen vordefinierten EmpfĂ€nger eine E-Mail gesendet, welche die Inhalte der drei Felder enthĂ€lt. Dabei filtert WPForms mit der WordPress Funktion sanitize_text_field HTML-Tags heraus. Diese Filterung entfernt erkannte HTML-Tags aus der Nachricht, jedoch wird diese Filterung nur einmalig durchgefĂŒhrt, was eine HTML-Injection ermöglichte. Durch das verschachtelte Injizieren von weiteren HTML-Tags konnten die Sicherheitsforscher von aramido die Filterung umgehen. Die von WPForms an den vordefinierten EmpfĂ€nger gesendete E-Mail hĂ€tte man so mit gefĂ€lschten Inhalten wie beispielsweise einem Klicken-Sie-hier-zum-Antworten-Knopf ausstatten können und den EmpfĂ€nger so auf eine vorbereitete Phishing Seite locken.

Zur Behebung einer Schwachstelle dieses Typs ist es nötig, auf folgenden Ebenen nachzubessern:

  1. Validierung aller Benutzereingaben mit einer entspechenden Fehlerbehandlung.
  2. Escaping der Inhalte gemĂ€ĂŸ des Zielsystems, in diesem Fall HTML.

Die gefundene Schwachstelle wurde bei der Version 1.5.9.5 von WPForms festgestellt. Das Update auf die korrigierte Version 1.6.0.1 steht in WordPress zur Installation bereit. aramido hat die neue Version geprĂŒft und konnte die SicherheitslĂŒcke in diese Form nicht mehr feststellen. DarĂŒber hinaus empfiehlt aramido HĂ€rtungsmaßnahmen durchzufĂŒhren, also das eigene IT-System gegen den hier beschriebenen Angriff weiter abzusichern und beispielsweise E-Mails aus mit Inhalten von öffentlich zugĂ€nglichen Feldern als Nur-Text E-Mails anzuzeigen.

FĂŒgen Sie den ersten Kommentar hinzu