Plugin nach fehlendem Sicherheitsupdate ersetzt

Nachdem ich bereits von der Sicherheitslücke des WordPress Plugins Clearfy Cache gelesen hatte, hoffte ich auf ein zeitnahes Update, welches die Lücke beseitigt.

Als dies nun nach knapp 4 Wochen noch nicht geschehen ist und ein Kunde mir heute mitteilte, dass eine Besucherin beim Aufruf seiner Webseite eine Warnung von ihrem Maleware- & Virenscanner erhielt, sah ich mich gezwungen umgehend zu handeln, das Plugin zu entfernen und durch eine vergleichbare Funktion zu ersetzen.

Vor Kurzem hatte ich schon den Gedanken die Teilfunktionen, die ich nur nutzte, zu ersetzen. Das Plugin nahm für meinen Geschmack in der Datenbank zu viel Raum ein.

Nachfolgend das Plugin mit der Sicherheitslücke:
(Version <= 2.2.3 NICHT INSTALLIEREN!)

Sicherheitslücke seit Mai bekannt

Das Clearfy Cache Plugin für WordPress ist anfällig für Cross-Site Request Forgery in Versionen bis einschließlich 2.2.1. Dies ist auf eine fehlende oder falsche Nonce-Validierung zurückzuführen. Dies ermöglicht es nicht authentifizierten Angreifern, unbefugte Aktionen über eine gefälschte Anfrage auszuführen. Sie können einen Website-Administrator dazu verleiten, eine Aktion wie das Klicken auf einen Link auszuführen.

– Offizielle Sicherheitsmeldung der WPScan Datenbank vom 13. Mai .2024:
https://wpscan.com/vulnerability/712b0624-e4e3-4475-b1b8-6dce3878faff ↗︎

– Sicherheitsmeldung auf Patchstack vom 15. Mai 2024:
https://patchstack.com/database/vulnerability/clearfy/wordpress-clearfy-cache-plugin-2-2-1-cross-site-request-forgery-csrf-vulnerability ↗︎

Was ist Cross-Site Request Forgery (CSRF)?

Bei einem Cross-Site-Request-Forgery-Angriff wird der einen Nutzer dazu verleitet, versehentlich seine Anmeldedaten zu verwenden, um eine Aktivität auszulösen, die den Status verändert, z. B. eine Überweisung von seinem Konto, die Änderung seiner E-Mail-Adresse und seines Passworts oder eine andere unerwünschte Aktion.

Während die potenziellen Auswirkungen auf einen normalen Nutzer beträchtlich sind, kann ein erfolgreicher CSRF-Angriff auf ein Administratorkonto einen ganzen Server kompromittieren und möglicherweise zu einer vollständigen Übernahme einer Webanwendung, einer API oder eines anderen Dienstes führen.

[Update: 12. Juli 2024] Die Sicherheitslücke besteht weiterhin, es gibt noch keine bereinigte, neue Version.

[Update: 17.07.2024] Heute wurde vom Entwickler die Version 2.2.3 auf wordpress.org bereitgestellt. Sie stellt die Kompatibilität mit WordPress 6.6 her und es wurden kleinere Fehler behoben. Die Sicherheitsmeldung der WPScan Datenbank (weiter oben bereits verlinkt) besagt, dass die Sicherheitlücke auch in dieser Version weiterhin nicht geschlossen ist.