Persistent Cross-Site Scripting in Admin Columns (SYSS-2021-032/CVE-2021-24365)

Das beliebte WordPress-Plug-in “Admin Columns” verwendet bis Version 5.5.1 (Pro Version) bzw. 4.3 (Free Version) keine ausreichende Eingabevalidierung. Dadurch sind Persistent Cross-Site Scripting (XSS)-Angriffe möglich.

Mit Admin Columns können Tabellen erstellt werden, die sowohl im WordPress-Administrationsbereich als auch auf der eigentlichen Webseite angezeigt werden können. Der Spaltentyp “Custom Field” gibt hier Daten aus der Datenbank ohne Validierung oder Maskierung von Steuerzeichen aus.

Durch diesen Umstand ist der “Custom Field”-Spaltentyp gefährlich: Verwendet man eine solche Spalte, um Eingaben aus der Webseite (z. B. Kommentare, Adressen oder Namen) darzustellen, können Angreifende schadhaften JavaScript-Code einschleusen und zur Ausführung bringen. Dies wirkt besonders schwer, wenn die Tabelle im Administrationsbereich dargestellt wird, da dann Konten mit hohen Rechten übernommen werden können.

Der Hersteller des Plug-ins hat die Schwachstelle mit Version 5.5.2 (Pro) sowie 4.3.2 (Free) behoben. Betroffene Webseiten sollten so schnell wie möglich aktualisiert werden, falls noch nicht geschehen.

Detaillierte Informationen zu der gefundenen Schwachstelle finden Sie in unserem Security Advisory / You will find detailed information about these security issues in our Security Advisory:

• SYSS-2021-032

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.