Een kwetsbaarheid in de WordPress Google Analytics-plug-in heeft meer dan 3 miljoen websites bereikt

De National Vulnerability Database heeft aangekondigd dat er een beschermde cross-site scripting (XSS) kwetsbaarheid is ontdekt in de populaire Google Analytics WordPress plugin met meer dan 3 miljoen installaties.

Beschermd door XSS

Een Cross-Site Scripting (XSS)-aanval vindt meestal plaats wanneer het deel van een website dat gebruikersinvoer accepteert, onveilig is en onbedoelde invoer toestaat, zoals scripts of links. Een XSS-kwetsbaarheid kan worden misbruikt om ongeoorloofde toegang tot een website te krijgen en kan leiden tot diefstal van gebruikersgegevens of een volledige overname van de website. Het non-profit Open Worldwide Application Security Project (OWASP) beschrijft hoe de XSS-kwetsbaarheid werkt: “Een aanvaller kan XSS gebruiken om een ​​kwaadaardig script naar een nietsvermoedende gebruiker te sturen. De browser van de eindgebruiker kan op geen enkele manier weten dat het script niet vertrouwd moet worden en zal in plaats daarvan het script uitvoeren. Omdat wordt aangenomen dat het script afkomstig is van een vertrouwde bron, heeft het kwaadaardige script toegang tot alle cookies, sessietokens of andere gevoelige informatie die de browser opslaat en gebruikt op die website. Opgeslagen XSS, wat aantoonbaar erger is, is er een waarbij het kwaadaardige script op de servers van de website zelf wordt opgeslagen. De MonsterInsights – Google Analytics Dashboard-plug-in voor WordPress bleek een beschermde versie van een XSS-kwetsbaarheid te hebben.

MonsterInsights – Google Analytics-dashboard voor WordPress-kwetsbaarheden

Nu de Google Analytics-plug-in van MonsterInsights op meer dan drie miljoen websites is geïnstalleerd, is deze kwetsbaarheid een grotere zorg.
Het WordPress-beveiligingsbedrijf Patchstack, dat de kwetsbaarheid ontdekte, heeft de details vrijgegeven:
Rafie Muhammad (Patchstack) ontdekte en rapporteerde deze Cross Site Scripting (XSS)-kwetsbaarheid in WordPress Google Analytics gemaakt door de MonsterInsights-plug-in. Hierdoor kan een kwaadwillende persoon kwaadaardige scripts in uw website injecteren, zoals omleidingen, advertenties en andere HTML-gegevens die worden uitgevoerd wanneer gasten uw website bezoeken. Deze kwetsbaarheid is opgelost in versie 8.14.1. De changelog voor de MonsterInsights-plug-in in de WordPress-plug-inrepository gaf een ietwat vage uitleg van de beveiligingspatch: “Opgelost: een PHP-waarschuwingsfout gerepareerd en aanvullende beveiligingsverbeteringen toegevoegd. “Beveiligingsverharding” is een term die kan worden toegepast op veel taken die verband houden met het verminderen van aanvalsvectoren, zoals het verwijderen van het versienummer. WordPress heeft een volledige pagina gepubliceerd over het versterken van de beveiliging die beveiligingsversterkende taken aanbeveelt, zoals regelmatige databaseback-ups, het verkrijgen van thema’s en plug-ins van vertrouwde bronnen en het gebruik van sterke wachtwoorden. Al deze activiteiten verhogen de veiligheid. Daarom is het gebruik van de uitdrukking “beveiligingsverharding” een algemene en generieke term voor zoiets specifieks (en belangrijks) als het oplossen van een XSS-beveiligingsprobleem waardoor een gebruiker een plug-in-update zou kunnen overslaan.

Aangeraden actie

Patchstack raadt alle gebruikers van de MonsterInsights Analytics-plug-in aan om de WordPress-plug-in onmiddellijk bij te werken naar de nieuwste versie of in ieder geval versie 8.14.1.
Lees het rapport van de Amerikaanse National Vulnerability Database:
CVE-2023-23999 Details
Lees de Patchstack-aankondiging:
WordPress Google Analytics door MonsterInsights-plug-in <= 8.14.0 is kwetsbaar voor Cross Site Scripting (XSS)

Relevante berichten