„`html
Zusammenfassung
Das WordPress-Plugin „Cost of Goods“ von PixelYourSite enthält eine kritische Stored Cross-Site Scripting (XSS)-Schwachstelle. Unauthentizierte Angreifer können über den Parameter ‚csvdata[0][cost_of_goods_value]‘ beliebige JavaScript-Code in die Webseite einschleusen. Der injizierte Code wird persistent gespeichert und führt zu Sicherheitsverletzungen, wenn legitime Benutzer die betroffene Seite aufrufen.
Betroffene Systeme
Betroffen sind alle Installationen des „Cost of Goods by PixelYourSite“-Plugins in Version 1.2.12 und älteren Versionen. Das Plugin wird auf WordPress-Websites zur Verwaltung von Produktkosten genutzt. Aktuell ist kein Patch verfügbar.
Technische Details
Die Vulnerabilität entsteht durch unzureichende Input-Validierung und fehlende Output-Escaping im Parameter ‚csvdata[0][cost_of_goods_value]‘. Angreifer können über HTTP-Requests schädliche Skripte direkt in die Datenbank einspeisen, ohne sich authentifizieren zu müssen. Der Angriffsvektor ist netzwerkbasiert mit hohem CVSS-Score (7.2). Bei jedem Seitenzugriff wird das injizierte Skript ausgeführt, sodass Angreifer Sitzungscookies stehlen, Formulare manipulieren oder Malware verteilen können.
Empfohlene Massnahmen
Sofortmassnahmen: Deaktivieren und deinstallieren Sie das Plugin sofort, falls es nicht essentiell ist. Überprüfen Sie Ihre WordPress-Logs auf verdächtige Anfragen zum Parameter ‚csvdata‘. Führen Sie einen Malware-Scan durch.
Monitoring: Implementieren Sie Web Application Firewall (WAF)-Regeln, um Anfragen mit verdächtigem ‚csvdata‘-Content zu blockieren. Nutzen Sie Security-Plugins zur Überwachung von Datenbankveränderungen.
Alternative: Nutzen Sie alternative, gepatchte Plugins für Produktkostenmanagement oder warten Sie auf ein Security-Update des Herstellers.
Bewertung
Diese Schwachstelle erfordert sofortiges Handeln. Die fehlende Authentifizierung kombiniert mit Stored XSS stellt ein erhebliches Risiko dar. Da kein Patch verfügbar ist, bleibt nur die Deinstallation oder Deaktivierung als wirksame Lösung.
„`