Über 2 Millionen Webseiten sind wegen einer Sicherheitslücke im Wordpress-Plugin Advanced Custom Fields (Pro) anfällig für Datenklau per XSS.
Mehr als zwei Millionen WordPress-Seiten nutzen das Plugin Advanced Custom Fields (Pro), in dem ein IT-Forscher kürzlich eine neue Sicherheitslücke entdeckt hat. Diese ermöglicht es Angreifern, per XSS die Webseite zu infiltrieren und sensible Daten der Besucher zu stehlen. Ein Patch steht schon bereit, doch mehr als 70 Prozent aller Administratoren haben ihn noch nicht installiert.
Advanced Custom Fields (Pro) ist per XSS angreifbar
Dass jedes zusätzliche Plugin für die Sicherheit einer WordPress-Seite eher nachteilig ist, dürfte den meisten Administratoren bewusst sein. Dabei sind es gerade diese kleinen Helfer, die das freie Content Management System (CMS) besonders beliebt machen.
Wie ein Sicherheitsforscher kürzlich herausfand, sorgt jedoch eine Sicherheitslücke im weitverbreiteten WordPress-Plugin namens “Advanced Custom Fields (Pro)” dafür, dass derzeit Millionen von Webseiten anfällig für Cross-Site-Scripting-Angriffe (XSS) sind.
Dadurch ist es Angreifern möglich, auf betroffenen Seiten bösartigen Code einzuschleusen, den der Webbrowser anderer Besucher anschließend ausführt. Infolgedessen lassen sich beispielsweise sensible Nutzerdaten und Accounts stehlen. Auch eine Rechteausweitung auf der infiltrierten WordPress-Seite durch den Eindringling ist denkbar.
Mehr als zwei Millionen Webseiten betroffen
Einem Bericht von BleepingComputer zufolge erlangte Rafie Muhammad, ein Forscher des Cybersecurity-Unternehmens Patchstack, erst am 2. Mai 2023 Kenntnis von der Schwachstelle CVE-2023-30777. Darüber sei es eingeloggten WordPress-Benutzern möglich, einen XSS-Angriff auszuführen, sofern sie “Zugriff auf das Advanced Custom Fields Plugin haben”.
Folglich müsste ein Angreifer also zunächst auf anderem Wege in einen berechtigten Account eindringen, um die Sicherheitslücke in dem WordPress-Plugin zur Erstellung benutzerdefinierter Felder effektiv auszunutzen. Bei den über zwei Millionen aktiven Installationen des Tools ist die Spielwiese für Cyberkriminelle aber nicht gerade klein.
Zumal die Schwachstelle dem Patchstack-Bericht zufolge bereits in der Standardkonfiguration des WordPress-Plugins ausnutzbar ist. Wer das Tool also einfach nur installiert hat, ohne es wirklich zu verwenden, ist trotzdem nicht geschützt.
Advanced Custom Fields (Pro) jetzt auf Version 6.1.6 updaten
Am 4. Mai, nur zwei Tage nach ihrer Entdeckung, hat der Entwickler WP Engine die Schwachstelle in seinem WordPress-Plugin behoben. Ab Version 6.1.6 ist Advanced Custom Fields (Pro) folglich nicht mehr anfällig für Angriffe dieser Art.
Leider zeigen die offiziellen Download-Statistiken, dass noch über 70 Prozent aller WordPress-Seiten, die das Plugin installiert haben, auf eine Version vor 6.1 setzen. Administratoren sollten das Tool dringend aktualisieren, um die Besucher ihrer Webseite vor möglichen XSS-Angriffen zu schützen.