2022-0571: WordPress: Mehrere Schwachstellen ermöglichen u. a. einen Cross-Site-Scripting-Angriff
Historie:
- Version 1 (2022-03-11 16:46)
- Neues Advisory
- Version 2 (2022-03-14 15:14)
- Mittlerweile sind Details zu den mit WordPress 5.9.2 behobenen Schwachstellen bekannt geworden. Ein Angreifer kann die Schwachstellen aus der Ferne ausnutzen, um über Prototype-Pollution-Angriffe beliebigen JavaScript-Programmcode auszuführen und einen Cross-Site-Scripting (XSS)-Angriff gegen Administratoren der WordPress-Instanz durchzuführen, welcher die Übernahme der Instanz zur Folge hätte. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers. Die mittlerweile bei Fedora aufgeführten Schwachstellenbezeichner CVE-2022-25600 und CVE-2022-25601 betreffen WordPress-Plugins. Diese Schwachstellen werden nicht durch WordPress 5.9.2 adressiert.
Betroffene Software
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um nicht spezifizierte Angriffe durchzuführen.
Der Hersteller informiert darüber, dass in aktuellen WordPress-Versionen bis zu drei Schwachstellen vorhanden sind. Als Sicherheitsupdates werden neben WordPress 5.9.2 aktualisierte Versionen für alle Versionszweige ab WordPress 3.7 bereitgestellt.
Für Fedora 34 und 35 sowie Fedora EPEL 7 und 9 stehen mit den Paketen 'wordpress-5.9.2-1.fc35', 'wordpress-5.9.2-1.el9', 'wordpress-5.8.4-1.fc34' und 'wordpress-5.1.13-1.el7' aktuelle Versionen der Software im Status 'pending' zur Verfügung.
Schwachstellen:
CVE-2021-20083
Schwachstelle in jquery-plugin-query-object ermöglicht Prototype PollutionWORDPRESS-5-9-2-A2
Schwachstelle in Gutenberg ermöglicht Prototype PollutionWORDPRESS-5-9-2-B
Schwachstelle in WordPress ermöglicht Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.