Zwei Schwachstellen im POST SMTP Mailer WordPress-Plugin, einem E-Mail-Zustellungstool, das von 300.000 Websites genutzt wird, könnten es Angreifern ermöglichen, die vollständige Kontrolle über eine Website-Autorisierung zu erlangen.

Letzten Monat entdeckten die Wordfence-Sicherheitsforscher Ulysses Saicha und Sean Murphy zwei Schwachstellen im Plugin und meldeten diese dem Anbieter.

Die erste, unter CVE-2023-6875 erfasst, ist eine kritische Autorisierungsumgehungs-Schwachstelle, die aus einem „Type Juggling“-Problem am connect-app REST-Endpunkt resultiert. Die Schwachstelle betrifft alle Versionen des Plugins bis 2.8.7.

Ein nicht authentifizierter Angreifer könnte sie ausnutzen, um den API-Schlüssel zurückzusetzen und sensible Log-Informationen einzusehen, einschließlich E-Mails zum Zurücksetzen von Passwörtern.

Konkret kann der Angreifer eine Funktion im Zusammenhang mit der mobilen App ausnutzen, um einen gültigen Token mit einem Nullwert für den Authentifizierungsschlüssel über eine Anfrage zu setzen.

Anschließend löst der Angreifer ein Zurücksetzen des Passworts für den Admin der Website aus und greift dann auf den Schlüssel innerhalb der Anwendung zu, ändert ihn und sperrt den legitimen Benutzer aus dem Konto aus.

Mit Administratorrechten hat der Angreifer vollen Zugriff und kann Hintertüren einbauen, Plugins und Themes ändern, Inhalte bearbeiten und veröffentlichen oder Benutzer auf bösartige Ziele umleiten.

Die zweite Schwachstelle ist ein Cross-Site-Scripting-Problem (XSS), das als CVE-2023-7027 identifiziert wurde und aus unzureichender Eingabesanierung und Ausgabeescaping resultiert.

Die Schwachstelle betrifft POST SMTP bis Version 2.8.7 und könnte es Angreifern ermöglichen, willkürliche Skripte in die Webseiten der betroffenen Website einzuspritzen.

Wordfence kontaktierte den Anbieter erstmals am 8. Dezember 2023 über die kritische Schwachstelle und legte nach der Einreichung des Berichts am 15. Dezember einen Proof-of-Concept (PoC)-Exploit vor.

Das XSS-Problem wurde am 19. Dezember 2023 gemeldet, und am nächsten Tag wurde ein PoC geteilt.

Der Anbieter des Plugins veröffentlichte am 1. Januar 2024 die Version 2.8.8 von POST SMTP, die Sicherheitskorrekturen für beide Probleme enthält.

Basierend auf Statistiken von wordpress.org gibt es etwa 150.000 Websites, die eine anfällige Version des Plugins verwenden, die niedriger als 2.8 ist. Von der anderen Hälfte, die Version 2.8 oder höher installiert hat, sind wahrscheinlich Tausende ebenfalls anfällig, wenn man bedenkt, dass die Plattform seit der Veröffentlichung des Patches etwa 100.000 Downloads meldet.