Nur einen Tag nach der Veröffentlichung eines Proof-of-Concept (PoC)-Exploits wurden Cyberkriminelle dabei gesichtet, wie sie eine bekannte Sicherheitslücke mit hohem Schweregrad in einem beliebten WordPress-Plugin ausnutzten.
Cybersicherheitsforscher von PatchStack entdeckten eine Cross-Site-Script (XSS)-Schwachstelle in Advanced Custom Fields, einem beliebten Plugin für den WordPress-Website-Builder (öffnet sich in neuem Tab)mit mehr als zwei Millionen aktiven Installationen.
Der als CVE-2023-30777 verfolgte Fehler ermöglichte es Bedrohungsakteuren, sensible Daten von Besuchern zu stehlen und in einigen Fällen die Website vollständig zu übernehmen.
Rasante Gauner
PatchStack entdeckte die Schwachstelle am 2. Mai und veröffentlichte am 5. Mai zusammen mit dem PoC einen Bericht. In der Zwischenzeit hat Delicious Brains, der Betreiber des Plugins, ein Sicherheitsupdate veröffentlicht und das Plugin auf Version 6.1.6 gebracht.
Nun setzen Betrüger darauf, dass die meisten Website-Administratoren ihre virtuellen Immobilien noch nicht aktualisiert haben, was ihre Website für diesen 6.1/10-Fehler anfällig machen würde.
„Die Akamai SIG analysierte XSS-Angriffsdaten und identifizierte Angriffe, die innerhalb von 24 Stunden nach der Veröffentlichung des Exploit-PoC begannen“, heißt es in dem Bericht des Unternehmens. „Besonders interessant daran ist die Abfrage selbst: Der Bedrohungsakteur hat den Patchstack-Beispielcode aus dem Beitrag kopiert und verwendet.“
Offizielle Statistiken von WordPress.org besagen, dass weniger als ein Drittel aller Benutzer (31,7 %) das Plugin auf Version 6.1 aktualisiert haben. Version, was bedeutet, dass Hacker eine ganze Reihe von Websites angreifen können. Der Bericht von BleepingComputer besagt, dass mindestens 1,4 Millionen Websites immer noch anfällig für diesen XSS-Fehler sind.
„Diese Sicherheitslücke ermöglicht es jedem nicht authentifizierten Benutzer [to steal] „Sensible Informationen führen in diesem Fall zu einer Rechteausweitung auf der WordPress-Site, indem der privilegierte Benutzer dazu verleitet wird, den manipulierten URL-Pfad zu besuchen“, sagte Patchstack. „Diese Sicherheitslücke könnte bei einer Standardinstallation oder -konfiguration des Plugins „Erweiterte benutzerdefinierte Felder“ ausgelöst werden. „Das XSS konnte auch nur von angemeldeten Benutzern ausgelöst werden, die Zugriff auf das Advanced Custom Fields-Plugin haben“, schlussfolgerten die Forscher.
Dies ist die vierte große Sicherheitslücke, die in diesem Plugin in den letzten Jahren gefunden wurde.
Über: BleepingComputer (öffnet sich in neuem Tab)