Een beveiligingslek in de plug-in Elementor WordPress Contact Form legt tot 200.000 websites bloot

Een beveiligingslek in de plug-in Elementor WordPress Contact Form legt tot 200.000 websites bloot post thumbnail image

De National Vulnerability Database van de Verenigde Staten heeft een melding gepubliceerd over een XSS-kwetsbaarheid in de populaire Metform Elementor Contact Form Builder-applicatie, die de kwetsbaarheid blootlegt in meer dan 200.000 actieve installaties.

Opgeslagen cross-site scripting (XSS)

Een opgeslagen XSS-kwetsbaarheid doet zich voor wanneer een website een invoer niet goed beveiligt, zoals een indieningsformulier waarmee een aanvaller een kwaadaardig script naar de server kan uploaden. Het script wordt vervolgens gedownload en uitgevoerd door de browser van de websitebezoekers, waardoor de hacker de cookies van de bezoekers kan stelen of toegang kan krijgen tot hun siterechten, wat kan leiden tot een overname van de site. Het non-profit Open Worldwide Application Security Project (OWASP) beschrijft de Cross Site Scripting-kwetsbaarheid: “Een aanvaller kan XSS gebruiken om een ​​kwaadaardig script naar een nietsvermoedende gebruiker te sturen. De browser van de eindgebruiker kan op geen enkele manier weten dat het script niet vertrouwd moet worden en zal in plaats daarvan het script uitvoeren. Omdat wordt aangenomen dat het script afkomstig is van een vertrouwde bron, heeft het kwaadaardige script toegang tot alle cookies, sessietokens of andere gevoelige informatie die de browser opslaat en gebruikt op die website. Er zijn verschillende soorten XSS-aanvallen. De kwetsbaarheid die de Elementor Contact Form-plug-in treft, wordt een worden beschermd XSS, omdat het kwaadaardige script wordt geladen en opgeslagen op de servers van de website zelf. Van bijzonder belang bij dit beveiligingslek is dat het een niet-geverifieerde versie is, wat betekent dat een aanvaller geen toestemming van de site nodig heeft om een ​​aanval uit te voeren. Deze specifieke kwetsbaarheid heeft een dreigingsscore van 7,2 gekregen op een schaal van 1 tot 10, waarbij niveau 10 het hoogste niveau is.

Wat veroorzaakte de kwetsbaarheid

De kwetsbaarheid werd veroorzaakt door een coderingsprobleem in de plug-in die ongewenste invoer niet kon controleren en blokkeren met behulp van het contactformulier. Dit proces van het controleren en blokkeren van ongewenste uploads wordt opschonen genoemd. Het tweede probleem was het onvermogen van de plug-in om de uitvoer van de plug-in te beschermen. Dit wordt escape-output genoemd.
WordPress publiceert een ontwikkelaarspagina over het datalek waarin wordt uitgelegd:
“Uitvoerstrippen is het proces waarbij uitvoergegevens worden beschermd door ongewenste gegevens zoals verkeerd opgemaakte HTML- of scripttags te verwijderen. Dit proces helpt uw ​​gegevens te beschermen voordat deze worden vrijgegeven aan de eindgebruiker. Het niet opschonen van de invoer om de uitvoer te vermijden zijn de twee belangrijkste problemen die tot de kwetsbaarheid hebben geleid.
De National Vulnerability Database-waarschuwing legt uit:
De plug-in Metform Elementor Contact Form Builder voor WordPress is kwetsbaar voor cross-site scripting via tekstgebieden in formulierversies ouder dan 3.1.2 (inclusief) vanwege onvoldoende invoeropschoning en uitvoerstripping. Hierdoor kunnen niet-geverifieerde aanvallers willekeurige webscripts in pagina’s injecteren die worden uitgevoerd telkens wanneer de gebruiker de ingevoerde pagina opent, de indieningspagina.

De Metform Elementor-plug-in is gerepareerd

De uitgevers van Metform Elementor Contact Form Builder hebben in de loop van verschillende versies patches uitgebracht om de kwetsbaarheid te verhelpen.
Dit zijn de bijgewerkte versies van de plug-in en hun oplossingen:

  • Versie 3.2.0
    Verbeterd: Veiligheid en desinfectie
  • Versie 3.2.2
    Vast: Probleem met toegangsrechten voor REST API-eindpuntbeveiliging
  • Versie 3.2.3 (vast 06/03/2023)
    Vast: Ontsnap aan het probleem in het handtekeningveld.
    Vast: Een formulier indienen over de status van offline gebruikers.

WordPress-uitgevers die de Metform Elementor-contactformulierbouwer gebruiken, zouden moeten overwegen hun plug-in bij te werken naar versie 3.2.3, die volledig is gepatcht.

Lees het advies op de National Vulnerability Database-website:
CVE-2023-0084 Details
Lees de officiële changelog van de plug-in waarin de fixes worden gedocumenteerd:
Metform Elementor contactformulier bouwer changelog

Relevante berichten