WordPress: Cross-Site-Scripting-Schwachstelle in älteren Cores; und WordPress 6.5.3 verfügbar

Kleine Information an die Betreiber von WordPress-Instanzen. Ich hoffe, ihr seid auf der aktuellen WordPress-Version, denn in älteren WordPress-Versionen gibt es eine Cross-Site-Scripting-Schwachstelle in WordPress-Core die nicht authentifizierte ermöglicht. Mir wurde zudem gerade WordPress 6.5.3 als Update angeboten. Und wer LightSpeed Cache als Plugin nutzt, sollte dringend updaten.


Anzeige

WordPress: Cross-Site-Scripting-Schwachstelle im Core

Mir ist der nachfolgende Tweet bezüglich der Schwachstelle CVE-2024-4439 (Unauthenticated Stored Cross-Site Scripting Vulnerability) im WordPress Core älterer Versionen untergekommen. Die Schwachstelle kann sowohl von nicht authentifizierten als auch von authentifizierten Benutzern unter verschiedenen Umständen ausgenutzt werden, um bösartige Web-Skripte in Seiten einzuschleusen.

Betroffene Versionen sind: 6.5 – 6.5.1, 6.4 – 6.4.3, 6.3 – 6.3.3, 6.2 – 6.2.4, 6.1 – 6.1.5, 6.0 – 6.0.7 – der Blog hier läuft bereits seit einiger Zeit unter Version 6.5.2. Details zur Schwachstelle lassen sich hier und bei WordFence nachlesen.

WordPress WordPress 6.5.3 verfügbar

Gerade ist mir WordPress 6.5.3 als Update angeboten worden (verfügbar seit 7. Mai 2024). WordPress 6.5.3 ist eine kurzzyklische Wartungsversion, die 12 Fehlerbehebungen im Core und 9 Fehlerbehebungen für den Block-Editor enthält. Wie es ausschaut, werden mit dieser Version keine Sicherheitslücken geschlossen (das Release hat also mit obiger Warnung nichts zu tun – hätte die Blogs auch nicht getroffen, da ich keine Avatare zulasse). Hier hat das Update bei den Blogs übrigens problemlos geklappt.

LightSpeed Cache als Risiko

Ergänzung: Ich trage es mal nach, weil ich inzwischen die Referenz wieder gefunden habe. In WordPress besteht die Möglichkeit, das Plugin LightSpeed Cache zu verwenden (hatte ich jahrelang hier in den Blogs, musste es aber wegen Problemen – verzögerte Abrufe von bis zu 30 Sekunden – vor einiger Zeit rauswerfen).

Nun lese ich bei den Kollegen von Bleeping Computer, dass Angreifer eine Schwachstelle in diesem Plugin verwenden, um auf WordPress-Websites mit einer veralteten Version des LiteSpeed-Cache-Plugins Administrator-Benutzer anzulegen und die Kontrolle über die Websites zu erlangen.

Betroffen sind WordPress-Websites mit älteren Varianten des Plugins vor der Version 5.7.0.1 . Das Sicherheitsteam von Automattic, WPScan, hat im April verstärkte Aktivitäten von Bedrohungsakteuren bemerkt, die WordPress-Seiten auf diese Plugin-Versionen scannen und kompromittieren. Die älteren Plugins weisen eine Cross-Site-Scripting-Schwachstelle (CVE-2023-40000) auf, die mit dem CVS-Index 8.8 eingestuft wurde und nicht authentifizierte Zugriffe ermöglicht.

Anmerkung: Titel und Text auf Grund der Leserkommentare leicht geändert – möchte ja nicht, dass jemand den Herzinfarkt bekommt, weil er nur Überschriften liest …


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter WordPress abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu WordPress: Cross-Site-Scripting-Schwachstelle in älteren Cores; und WordPress 6.5.3 verfügbar

  1. Anonymous sagt:

    Das Problem ist nur relevant wenn man den seit WordPress 6.x vorhandenen WordPress Avatar Block in Inhalten verwendet oder die WordPress Avatare in einem Kommentare Block anzeigt.

    Fluch und Segen des tollen Block Editors.

    • Anonymous sagt:

      Zur Ergänzung "hätte die Blogs auch nicht getroffen" noch, die Avatare hätten im entspr. Gutenberg Editor "Block" verwendet werden müssen, bei klassischer Nutzung wie hier im Blog wäre das Probkem nicht vorhanden. Es besteht nur bei Nutzung der schönen neuen "Block" Welt von WordPress..

  2. Kaspar sagt:

    Der Titel des Beitrags und der Absatz zum aktuellen Update 6.5.3 sind etwas irreführend, da man, wenn man die Zeile der betroffenen Versionen nur überflogen hat und annimmt, dass der Screenshot aus Twitter aktuell ist, annehmen muss, dass Version 6.5.3 noch von der Schwachstelle noch betroffen ist („ … mit dieser Version keine Sicherheitslücken geschlossen.").

    Da geht einem schon ein bisschen wieder die Muffe, da ja gefühlt in den letzten Monaten die Sicherheitsthemen nicht abreißen, mal mit übersehenen Schwachstellen, mal mit absichtlich hinzugefügten – Stichwort XZ.

    Tatsächlich wurde die Schwachstelle schon am 09.04.2024 in Version 6.5.2 gefixt, wie man im verlinkten Artikel (und in den Releasenotes von 6.5.2) lesen kann. Auch wurde der Fix auf ältere Versionszweige backportet.

  3. Marcel sagt:

    WordPress ist aber auch ein solch großer Moloch, kaum zu kontrollieren, immer wieder anfällig für große und gefährliche Lücken. Aufgebläht allemal, Plugins die Löcher reißen, kein Vergleich zu z.B. Flatfile-CMS. Es geht immer nur noch größer und dicker…

  4. Anonymous sagt:

    Am Rande angemerkt: Das Mobil/Desktop Problem besteht im Blog übrigens weiterhin, immer wieder mal wird Desktop Version für Mobil gezeigt und dann später wieder nicht, inkonsistenter Fehler.

    • Günter Born sagt:

      Ich kann aktuell wenig machen – meine Testumgebungen zeigen Mobil zuverlässig an – und in den Einstellungen ist Caching für Mobilgeräte deaktiviert.

      • Hans van Aken sagt:

        Auch bei mir auf dem Smartphone
        zunächst die Desktop-Ansicht.
        Wenn ich dann die Artikel-Überschrift
        anklicke erscheint sofort die
        Mobilansicht. Wenn man's weiß
        braucht man sich über die Desktop-
        Ansicht nicht weiter zu ärgern…

        Grüsse Hans

        • Günter Born sagt:

          Ok, mir ist noch eines eingefallen, was dieses Verhalten erklärt – war aber schon immer so. Wenn jemand einen Link in einem Kommentar postet, verhindert das die Anzeige der Mobilansicht, habe ich vor langer Zeit mal festgestellt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.