Een beveiligingslek in de WordPress-beveiligingsplug-in treft meer dan 1 miljoen websites

Er is vastgesteld dat een WordPress-beveiligingsplug-in twee kwetsbaarheden heeft die kwaadwillende uploads, cross-site scripting en het bekijken van willekeurige bestandsinhoud mogelijk maken.

All-in-one Security (AIOS) WordPress-plug-in

De All-In-One Security (AIOS) WordPress-plug-in van de uitgevers van UpdraftPlus biedt beveiligings- en firewallfuncties om hackers buiten te sluiten. Het biedt inlogbescherming die aanvallers buitensluit, bescherming tegen plagiaat, hotlink-blokkering, blokkering van commentaar-spam en een firewall om te beschermen tegen hackbedreigingen. De plug-in biedt ook proactieve beveiliging door gebruikers te waarschuwen voor veelvoorkomende fouten, zoals het gebruik van een “admin”-gebruikersnaam. Dit is een uitgebreide beveiligingssuite, mogelijk gemaakt door de ontwikkelaars van Updraft Plus, een van de meest vertrouwde uitgevers van WordPress-plug-ins. Deze functies maken AIOS erg populair, met meer dan een miljoen WordPress-installaties.

Twee kwetsbaarheden

De National Vulnerability Database (NVD) van de Amerikaanse overheid heeft twee waarschuwingen afgegeven voor twee kwetsbaarheden.

1. Fout bij het opschonen van gegevens

De eerste kwetsbaarheid is het gevolg van een fout bij het opschonen van gegevens, met name het niet omzeilen van logbestanden. Het strippen van gegevens is een basisbeveiligingsproces dat alle gevoelige gegevens verwijdert uit de uitvoer die door de plug-in wordt gegenereerd. WordPress heeft zelfs een ontwikkelaarspagina gewijd aan dit onderwerp met voorbeelden van hoe het te doen en wanneer het te doen.

De WordPress-ontwikkelaarspagina legt uit over escapeable uitgangen:
“Uitvoerstrippen is het proces waarbij uitvoergegevens worden beschermd door ongewenste gegevens zoals verkeerd opgemaakte HTML- of scripttags te verwijderen. Dit proces helpt uw ​​gegevens te beschermen voordat deze worden vrijgegeven aan de eindgebruiker. NVD beschrijft deze kwetsbaarheid: “Vóór versie 5.1.5 geeft de All-In-One Security (AIOS) WordPress-plug-in de inhoud van logbestanden niet door voordat deze wordt uitgevoerd naar de beheerpagina van de plug-in, waardoor een geautoriseerde gebruiker (admin+) plant valse logbestanden, die schadelijke JavaScript-code bevatten die wordt uitgevoerd in de context van elke beheerder die deze pagina bezoekt.

2. Directory Traversal-kwetsbaarheid

De tweede kwetsbaarheid lijkt een Path Traversal-kwetsbaarheid te zijn. Door dit beveiligingslek kan een aanvaller een beveiligingslek misbruiken om toegang te krijgen tot bestanden die normaal gesproken niet toegankelijk zouden zijn. Het Open Worldwide Application Security Project (OWASP) zonder winstoogmerk waarschuwt dat een succesvolle aanval kritieke systeembestanden in gevaar kan brengen. “Een path traversal-aanval (ook bekend als directory traversal) heeft tot doel toegang te krijgen tot bestanden en mappen die buiten de webhoofdmap zijn opgeslagen. Door variabelen te manipuleren die verwijzen naar bestanden met punt-punt-slash (../) reeksen en hun varianten, of door absolute bestandspaden te gebruiken, kan het mogelijk zijn om toegang te krijgen tot willekeurige bestanden en mappen die zijn opgeslagen op het bestandssysteem, inclusief de broncode van de applicatie of configuratie. en kritieke systeembestanden.
NVD beschrijft deze kwetsbaarheid:
De All-In-One Security (AIOS) WordPress-plug-in ouder dan 5.1.5 beperkt niet welke logbestanden moeten worden weergegeven op instellingenpagina’s, dus een geautoriseerde gebruiker (admin+) kan de inhoud van willekeurige bestanden bekijken en mappen maken op elke server ( waartoe de webserver toegang heeft). De plug-in geeft alleen de laatste 50 regels van het bestand weer. Beide kwetsbaarheden vereisen dat een aanvaller inloggegevens op beheerdersniveau bemachtigt om misbruik te kunnen maken, wat de aanval moeilijker kan maken. Het is echter te hopen dat de beveiligingsplug-in dergelijke vermijdbare kwetsbaarheden niet zal hebben.

Overweeg een upgrade naar de AIOS WordPress-plug-in

AIOS heeft een patch uitgebracht voor plug-in versie 5.1.6. Gebruikers kunnen overwegen om te upgraden naar ten minste versie 5.1.6 en mogelijk de nieuwste versie 5.1.7, die een bug verhelpt die optreedt wanneer er geen firewall is geconfigureerd.

Lees de twee NVD veiligheidsbulletins

CVE-2023-0157 Onjuiste invoerneutralisatie tijdens het genereren van webpagina’s (cross-scripting) CVE-2023-0156 Onjuiste padnaambeperking in beperkte map (“Path traversal”)

Afbeelding met dank aan Shutterstock/Kues

Relevante berichten