ISGroup Cybersicherheitsberatung

Widget Options Plugin <= 4.0.7 – Kritische authentifizierte RCE-Schwachstelle (CVE-2024-8672)

Eine kritische Remote Code Execution (RCE) Schwachstelle (CVE-2024-8672) wurde im Plugin Widget Options – The #1 WordPress Widget & Block Control Plugin identifiziert, das weltweit über 100.000 aktive Installationen zählt. Die Schwachstelle ermöglicht es Benutzern mit der Rolle „Mitarbeiter“ (Contributor) oder höher, beliebigen Code auf betroffenen WordPress-Seiten auszuführen. Die weite Verbreitung dieses Plugins auf verschiedenen Websites erhöht das Risiko einer Ausnutzung erheblich, was zu einer potenziellen Gefährdung sensibler Daten und der Systemintegrität führen kann.

Produktwp-query-console
Datum02.12.2024 10:00:25
Informationen
  • Im Trend
  • Fix verfügbar

Technische Zusammenfassung

CVE-2024-8672 betrifft alle Versionen des Plugins Widget Options bis einschließlich Version 4.0.7 und nutzt die Display-Logic-Funktionalität des Plugins aus. Das Problem entsteht durch eine unsachgemäße Handhabung von Benutzereingaben, die ohne angemessene Bereinigung oder rollenbasierte Einschränkungen an die Funktion eval() übergeben werden.

Wichtige Details:

Voraussetzungen für die Ausnutzung: Der Angreifer muss mindestens über die Berechtigungen eines Mitarbeiters (Contributor) verfügen.
Angriffsmethode: Durch das Einschleusen von bösartigem Code in die Display-Logic-Einstellungen kann der Angreifer beliebigen PHP-Code auf dem Server ausführen, was zur vollständigen Kompromittierung der Website führt.
Reaktion des Herstellers: Der Hersteller hat in Version 4.0.8 einen Patch veröffentlicht. Dieser enthält jedoch keine ausreichenden Härtungsmaßnahmen, wie etwa die Beschränkung der Ausführung auf vertrauenswürdige Rollen oder die Definition einer Whitelist für erlaubte Funktionen, wodurch einige Restrisiken bestehen bleiben.

Diese Schwachstelle wird als Kritisch mit einem CVSS-Wert von 9.9 eingestuft.

Betroffene Versionen:

  • Versionen des Plugins Widget Options 4.0.7 und früher.

Empfehlungen

  1. Plugin aktualisieren:
    Führen Sie ein Update auf Version 4.0.8 oder höher durch, um den vom Hersteller bereitgestellten Fix anzuwenden.

  2. Benutzerrollen überprüfen:
    Überprüfen und beschränken Sie die Berechtigungen von Mitarbeitern (Contributors), um unnötige Zugriffe auf die Display-Logic-Einstellungen zu verhindern.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *