Nachdem ich bereits von der Sicherheitslücke des WordPress Plugins Clearfy Cache gelesen hatte, hoffte ich auf ein zeitnahes Update, welches die Lücke beseitigt.
Als dies nun nach knapp 4 Wochen noch nicht geschehen ist und ein Kunde mir heute mitteilte, dass eine Besucherin beim Aufruf seiner Webseite eine Warnung von ihrem Maleware- & Virenscanner erhielt, sah ich mich gezwungen umgehend zu handeln, das Plugin zu entfernen und durch eine vergleichbare Funktion zu ersetzen.
Vor Kurzem hatte ich schon den Gedanken die Teilfunktionen, die ich nur nutzte, zu ersetzen. Das Plugin nahm für meinen Geschmack in der Datenbank zu viel Raum ein.
Nachfolgend das Plugin mit der Sicherheitslücke:
(Version <= 2.2.3 NICHT INSTALLIEREN!)
Sicherheitslücke seit Mai bekannt
Das Clearfy Cache Plugin für WordPress ist anfällig für Cross-Site Request Forgery in Versionen bis einschließlich 2.2.1. Dies ist auf eine fehlende oder falsche Nonce-Validierung zurückzuführen. Dies ermöglicht es nicht authentifizierten Angreifern, unbefugte Aktionen über eine gefälschte Anfrage auszuführen. Sie können einen Website-Administrator dazu verleiten, eine Aktion wie das Klicken auf einen Link auszuführen.
– Offizielle Sicherheitsmeldung der WPScan Datenbank vom 13. Mai .2024:
https://wpscan.com/vulnerability/712b0624-e4e3-4475-b1b8-6dce3878faff ↗︎
– Sicherheitsmeldung auf Patchstack vom 15. Mai 2024:
https://patchstack.com/database/vulnerability/clearfy/wordpress-clearfy-cache-plugin-2-2-1-cross-site-request-forgery-csrf-vulnerability ↗︎
Was ist Cross-Site Request Forgery (CSRF)?
Bei einem Cross-Site-Request-Forgery-Angriff wird der einen Nutzer dazu verleitet, versehentlich seine Anmeldedaten zu verwenden, um eine Aktivität auszulösen, die den Status verändert, z. B. eine Überweisung von seinem Konto, die Änderung seiner E-Mail-Adresse und seines Passworts oder eine andere unerwünschte Aktion.
Während die potenziellen Auswirkungen auf einen normalen Nutzer beträchtlich sind, kann ein erfolgreicher CSRF-Angriff auf ein Administratorkonto einen ganzen Server kompromittieren und möglicherweise zu einer vollständigen Übernahme einer Webanwendung, einer API oder eines anderen Dienstes führen.
UPDATE 12.07.2024
Die Sicherheitslücke besteht weiterhin, es gibt noch keine bereinigte, neue Version.
UPDATE 22.11.2022
Heute wurde vom Entwickler die Version 2.2.3 auf wordpress.org bereitgestellt. Sie stellt die Kompatibilität mit WordPress 6.6 her und es wurden kleinere Fehler behoben. Die Sicherheitsmeldung der WPScan Datenbank (weiter oben bereits verlinkt) besagt, dass die Sicherheitlücke auch in dieser Version weiterhin nicht geschlossen ist.
UPDATE 22.11.2022
Dieses Plugin wurde mit Wirkung vom 20. September 2024 geschlossen und steht nicht mehr zum Download zur Verfügung. Diese Schließung ist vorübergehend, bis zu einer vollständigen Überprüfung.
