De National Vulnerability Database heeft aangekondigd dat een populaire Google Analytics WordPress-plug-in die in meer dan 3 miljoen is geïnstalleerd, is ontdekt met een Stored Cross-Site Scripting (XSS)-kwetsbaarheid.
Opgeslagen XSS
Een Cross-Site Scripting (XSS)-aanval vindt over het algemeen plaats wanneer een deel van de website dat gebruikersinvoer accepteert, onveilig is en onverwachte invoer toestaat, zoals scripts of links.
De XSS-kwetsbaarheid kan worden gebruikt om ongeoorloofde toegang tot een website te verkrijgen en kan leiden tot diefstal van gebruikersgegevens of een volledige overname van de site.
Het non-profit Open Worldwide Application Security Project (OWASP) beschrijft hoe de XSS-kwetsbaarheid werkt:
“Een aanvaller kan XSS gebruiken om een kwaadaardig script naar een nietsvermoedende gebruiker te sturen. De browser van de eindgebruiker kan op geen enkele manier weten dat het script niet vertrouwd moet worden en zal het script uitvoeren.
Omdat het denkt dat het script afkomstig is van een vertrouwde bron, heeft het kwaadaardige script toegang tot alle cookies, sessietokens of andere gevoelige informatie die door de browser wordt bewaard en gebruikt met die site."
Een opgeslagen XSS, wat aantoonbaar erger is, is er een waarin het kwaadaardige script op de websiteservers zelf wordt opgeslagen.
Er werd ontdekt dat de plug-in, MonsterInsights – Google Analytics Dashboard voor WordPress, de opgeslagen XSS-versie van de kwetsbaarheid bevat.
MonsterInsights – Google Analytics-dashboard voor WordPress-kwetsbaarheid
De MonsterInsights Google Analytics-plug-in is geïnstalleerd op meer dan drie miljoen websites, wat deze kwetsbaarheid zorgwekkender maakt.
WordPress-beveiligingsbedrijf Patchstack, dat de kwetsbaarheid ontdekte, gepubliceerde details:
“Rafie Muhammad (Patchstack) ontdekte en rapporteerde deze Cross Site Scripting (XSS) kwetsbaarheid in WordPress Google Analytics door MonsterInsights Plugin.
Hierdoor kan een kwaadwillende actor kwaadaardige scripts, zoals omleidingen, advertenties en andere HTML-payloads, in uw website injecteren die worden uitgevoerd wanneer gasten uw site bezoeken.
Deze kwetsbaarheid is verholpen in versie 8.14.1.”
De MonsterInsights plug-in changelog op de WordPress plugin-repository bood een ietwat vage uitleg van de beveiligingspatch:
"Opgelost: we hebben een PHP-waarschuwingsfout verholpen en extra beveiliging toegevoegd."
Een "beveiligingsverharding" is een term die kan worden toegepast op veel taken die verband houden met het verminderen van aanvalsvectoren, zoals het verwijderen van versienummers.
WordPress heeft een gepubliceerd hele pagina over security hardening die beveiligingsverhardende taken aanbeveelt, zoals regelmatige databaseback-ups, het verkrijgen van thema's en plug-ins van vertrouwde bronnen en het gebruik van sterke wachtwoorden.
Al deze activiteiten zijn beveiligingsverharding.
Daarom is het gebruik van de uitdrukking "beveiligingsverharding" een algemene en generieke term om te gebruiken voor iets dat zo specifiek (en belangrijk) is als het patchen van een XSS-beveiligingslek, wat ertoe kan leiden dat een gebruiker het updaten van zijn plug-in overslaat.
Aangeraden actie
Patchstack raadt alle gebruikers van de MonsterInsights Analytics Plugin aan om hun WordPress plugin onmiddellijk bij te werken naar de nieuwste versie of in ieder geval versie 8.14.1.
Lees de aankondiging van de Amerikaanse National Vulnerability Database:
Lees de aankondiging van Patchstack:
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
- De toekomst slaan met Adryenn Ashley. Toegang hier.
- Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPO®. Toegang hier.
- Bron: https://www.searchenginejournal.com/monsterinsights-wordpress-plugin-vulnerability/487510/
