Social Warfare Plugin

Die Schwachstelle steckt im WordPress-Plugin Social Warfare, das Funktionen zum Teilen von Inhalten in sozialen Netzwerken bereitstellt. Es handelt sich um eine gespeicherte Cross-Site-Scripting-Lücke (Stored XSS): Über einen bestimmten Parameter einer Verwaltungsfunktion des Plugins lässt sich Schadcode einschleusen, der dauerhaft gespeichert und anschließend im Browser ahnungsloser Nutzer ausgeführt wird. Weil der eingeschleuste Code aus dem Kontext der betroffenen Website heraus läuft, geht die Wirkung über reines Skripting hinaus und ermöglicht die Ausführung von fremdem Code. Angreifer können dies aus der Ferne ausnutzen, um Administratoren-Sitzungen zu übernehmen, die Website zu manipulieren oder weitergehende Kontrolle über die WordPress-Installation zu erlangen. Betroffen sind sowohl die kostenlose Variante Social Warfare als auch die kostenpflichtige Version Social Warfare Pro. Die Lücke wurde aktiv von Angreifern im Internet ausgenutzt.