HTML-Injection Schwachstelle bei WordPress Plugin WPForms

Die Sicherheitsforscher von aramido deckten im WordPress Plugin WPForms vom gleichnamigen Unternehmen eine HTML-Injection Sicherheitsl├╝cke auf. Das Plugin erm├Âglicht Nutzern des sehr weit verbreiteten Content Management Systems WordPress das einfache Erstellen von Formularen, wie beispielsweise einem Kontaktformular. Sicherheitsl├╝cken wie diese treten bei Webseiten mit Eingabefeldern immer wieder auf, obwohl sie seit langem als eines der h├Ąufigsten Sicherheitsrisiken f├╝r Webanwendungen gelten. Nach den aramido Richtlinien zum verantwortlichen Offenlegen von Sicherheitsl├╝cken meldete aramido die Schwachstelle an den Hersteller zur Behebung, was laut WPForms, LLC. in der Zwischenzeit erfolgt ist. Der von aramido formulierte Sicherheitshinweis kann zudem ├Âffentlich eingesehen werden.

Ein mit WPForms erstelltes WordPress Kontaktformular aus der Vorlage Einfaches Kontaktformular besteht aus den Feldern Name, E-Mail und Kommentar oder Nachricht. Wird das Kontaktformular ausgef├╝llt und abgeschickt, wird an einen vordefinierten Empf├Ąnger eine E-Mail gesendet, welche die Inhalte der drei Felder enth├Ąlt. Dabei filtert WPForms mit der WordPress Funktion sanitize_text_field HTML-Tags heraus. Diese Filterung entfernt erkannte HTML-Tags aus der Nachricht, jedoch wird diese Filterung nur einmalig durchgef├╝hrt, was eine HTML-Injection erm├Âglichte. Durch das verschachtelte Injizieren von weiteren HTML-Tags konnten die Sicherheitsforscher von aramido die Filterung umgehen. Die von WPForms an den vordefinierten Empf├Ąnger gesendete E-Mail h├Ątte man so mit gef├Ąlschten Inhalten wie beispielsweise einem Klicken-Sie-hier-zum-Antworten-Knopf ausstatten k├Ânnen und den Empf├Ąnger so auf eine vorbereitete Phishing Seite locken.

Zur Behebung einer Schwachstelle dieses Typs ist es n├Âtig, auf folgenden Ebenen nachzubessern:

  1. Validierung aller Benutzereingaben mit einer entsprechenden Fehlerbehandlung.
  2. Escaping der Inhalte gem├Ą├č des Zielsystems, in diesem Fall HTML.

Die gefundene Schwachstelle wurde bei der Version 1.5.9.5 von WPForms festgestellt. Das Update auf die korrigierte Version 1.6.0.1 steht in WordPress zur Installation bereit. aramido hat die neue Version gepr├╝ft und konnte die Sicherheitsl├╝cke in diese Form nicht mehr feststellen. Dar├╝ber hinaus empfiehlt aramido H├Ąrtungsma├čnahmen durchzuf├╝hren, also das eigene IT-System gegen den hier beschriebenen Angriff weiter abzusichern und beispielsweise E-Mails aus mit Inhalten von ├Âffentlich zug├Ąnglichen Feldern als Nur-Text E-Mails anzuzeigen.