CVE-2024-1071 Sicherheitslücke im WordPress-Plugin

In Ultimate Member, einem weit verbreiteten WordPress-Plugin mit über 200.000 aktiven Installationen, wurde eine erhebliche Sicherheitslücke aufgedeckt. Dieser als CVE-2024-1071 identifizierte Fehler hat einen hohen CVSS-Score von 9,8 von 10 erhalten und wurde vom Sicherheitsforscher Christiaan Swiers aufgedeckt und gemeldet. Wie in einer aktuellen Empfehlung von Wordfence, einem WordPress-Sicherheitsunternehmen, ausführlich dargelegt, ist das Plugin (Versionen 2.1.3 bis 2.8.2) anfällig für SQL-Injection über den „Sorting“-Parameter, da die vom Benutzer bereitgestellten Parameter unzureichend maskiert und nicht ausreichend vorbereitet wurden die bestehende SQL-Abfrage.

Diese Lücke könnte von nicht authentifizierten Angreifern ausgenutzt werden, um zusätzliche SQL-Abfragen in die vorhandenen Abfragen einzufügen und so sensible Daten aus der Datenbank zu extrahieren. Es ist wichtig zu beachten, dass dieses Problem Benutzer betrifft, die in den Plugin-Einstellungen die Option „Benutzerdefinierte Tabelle für Usermeta aktivieren“ ausgewählt haben.

Nach der verantwortungsvollen Offenlegung am 30. Januar 2024 haben die Plugin-Entwickler die Schwachstelle umgehend behoben und am 19. Februar Version 2.8.3 veröffentlicht. Benutzern wird dringend empfohlen, ihre Plugins umgehend auf die neueste Version zu aktualisieren, um potenzielle Risiken zu minimieren, insbesondere angesichts der Tatsache, dass Wordfence dies bereits verhindert hat ein Angriff, der innerhalb der letzten 24 Stunden versuchte, die Schwachstelle auszunutzen.

Es ist bemerkenswert, dass eine ähnliche Schwachstelle (CVE-2023-3460, CVSS-Score: 9,8) im selben Plugin im Juli 2023 aktiv von Bedrohungsakteuren missbraucht wurde. Durch die Ausnutzung dieser Schwachstelle konnten sie nicht autorisierte Admin-Benutzer erstellen und die Kontrolle über anfällige Websites übernehmen.

Was ist das einheitliche CVE-Bewertungssystem für Schwachstellen?

Das Common Vulnerability Scoring System (CVSS) ist ein standardisiertes Bewertungssystem zur Bewertung und Kommunikation des Schweregrads von Schwachstellen in Softwaresystemen. Es bietet Organisationen und Einzelpersonen einen gemeinsamen Rahmen zur Bewertung der Auswirkungen von Sicherheitslücken. Das CVSS ist herstellerunabhängig konzipiert und in der Cybersicherheits-Community weit verbreitet.

Das CVSS weist Schwachstellen eine numerische Bewertung zu, die auf verschiedenen Faktoren basiert, darunter der Ausnutzbarkeit der Schwachstelle, den Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des betroffenen Systems und der Frage, ob die Schwachstelle zur Ausnutzung eine Benutzerinteraktion erfordert. Die Werte reichen von 0 bis 10, wobei höhere Werte auf schwerwiegendere Schwachstellen hinweisen.

Das CVSS hat mehrere Versionen durchlaufen, und die neueste Version ist meines Wissens nach im Januar 2022 CVSSv3.1. Im Vergleich zu früheren Versionen bietet es eine verfeinerte und genauere Bewertung von Schwachstellen.

Das „Common Vulnerabilities and Exposures“ (CVE)-System hingegen ist eine separate Initiative, die öffentlich bekannt gegebenen Schwachstellen eindeutige Kennungen, sogenannte CVE-IDs, zuweist. Das CVE-System stellt selbst keine Schweregradbewertungen bereit. Stattdessen wird es häufig in Verbindung mit dem CVSS verwendet, um Schwachstellen eindeutig zu identifizieren und zu bewerten.