WP Statistics WordPress-plug-in lost CSRF-kwetsbaarheid op

De National Vulnerability Database (NVD) van de Amerikaanse overheid heeft een rapport gepubliceerd over een kwetsbaarheid ontdekt in de WP Statistics WordPress-plug-in die tot 600.000 actieve apparaten treft. De kwetsbaarheid kreeg een gemiddeld dreigingsniveauscore van 6,5 op een schaal van 1 tot 10, waarbij niveau 10 het hoogste kwetsbaarheidsniveau vertegenwoordigt.

WP Statistics Cross-Site Request Forgery (CSRF)

De WP Statistics-plug-in bleek een Cross-Site Request Forgery-kwetsbaarheid te hebben waardoor een aanvaller een website kon binnendringen door plug-ins te activeren of te deactiveren. Cross-site request spoofing is een aanval waarbij een geregistreerde gebruiker van een site (zoals een beheerder) een actie moet uitvoeren, zoals klikken op een link, waardoor een aanvaller een beveiligingslek kan misbruiken. In dit geval is de beveiligingsfout “ontbrekende of onjuiste ontkenning”. Een WordPress nonce is een beveiligingstoken dat wordt gegeven aan een geregistreerde gebruiker waarmee deze veilig acties kan uitvoeren die alleen een geregistreerde gebruiker kan uitvoeren. De WordPress-ontwikkelaarspagina’s leggen dit uit met een voorbeeld van een beheerder die een bericht verwijdert. Nonces WordPress kan de volgende URL genereren wanneer een gebruiker op beheerdersniveau een bericht verwijdert.
Het volgende is een hypothetisch voorbeeld van de URL die wordt gegenereerd door het verwijderen van een record met ID-nummer 123:
http://example.com/wp-admin/post.php?post=123&action=trash
Een geregistreerde WordPress-sitebeheerder kiest een nonce en de voorbeeld-URL kan er als volgt uitzien:
http://example.com/wp-admin/post.php?post=123&action=trash&_wpnonce=b192fc4204 Het laatste deel, &_wpnonce=b192fc4204, is een non-event. Wat er dus gebeurt, is dat de WP Statistics-plug-in ontbreekt of niet correct is gevalideerd en dit creëert een beveiligingslek dat een kwaadwillende hacker kan misbruiken.
De Nationale Kwetsbaarheidsdatabase (NVD) legt het zo uit:
“De WP Statistics plugin voor WordPress is kwetsbaar voor cross-site request spoofing in versies tot en met 13.1.1. Dit komt door een ontbrekende of ongeldige ongeldigheid in de functie view(). Hierdoor kunnen niet-geverifieerde aanvallers willekeurige plug-ins activeren en deactiveren door een sitebeheerder te misleiden om een ​​actie te ondernemen, zoals het klikken op een link, na ontvangst van een vervalst verzoek.

Oplossing voor CSRF-kwetsbaarheid

De kwetsbaarheid in de plug-in WP Statistics treft versies tot en met 13.1.1. Sindsdien zijn er echter veel beveiligingsreparaties toegevoegd, waaronder versie 13.2.11 en aanvullende fixes sindsdien. De huidige versie van de plug-in is 14.0.1. Momenteel gebruikt slechts 29,3% van de gebruikers de nieuwste versie.
WP Statistics WordPress-plug-in lost CSRF-kwetsbaarheid op

Gebruikers van een verouderde versie van de plug-in kunnen overwegen om te upgraden naar de nieuwste versie.
Lees de veiligheidstip van NVD:
CVE-2021-4333 Details
Uitgelichte afbeelding door Shutterstock / Asier Romero

Relevante berichten