WPCode – Kop- en voetteksten invoegen + aangepaste codefragmenten De WordPress-plug-in die op meer dan een miljoen apparaten is geïnstalleerd, heeft een kwetsbaarheid waardoor een aanvaller bestanden op de server kan verwijderen. De kwetsbaarheidswaarschuwing is gepubliceerd in de National Vulnerability Database (NVD) van de Amerikaanse overheid.
Installeer de plug-in Koptekst en voettekst
De WPCode-plug-in (voorheen bekend als WPBeginner Insert Headers and Footers) is een populaire plug-in waarmee WordPress-uitgevers codefragmenten kunnen toevoegen aan het kop- en voettekstgebied. Dit is handig voor uitgevers die Google Search Console-websitevalidatiecode, CSS-code, structurele gegevens, zelfs AdSense-code moeten toevoegen, praktisch alles wat thuishoort in de voettekst van de website.
Cross-Site Request Forgery (CSRF) beveiligingslek
WPCode – Voeg kop- en voetteksten in voordat versie 2.0.9 een kwetsbaarheid heeft die is geïdentificeerd als een cross-site request forgery (CSRF). Een CSRF-aanval is gebaseerd op het misleiden van een eindgebruiker die is geregistreerd op een WordPress-site om op een link te klikken die een ongewenste actie uitvoert. Een aanvaller bewaart in wezen de inloggegevens van een geregistreerde gebruiker om acties uit te voeren op de site waar de gebruiker is geregistreerd. Wanneer een ingelogde WordPress-gebruiker op een link klikt die een kwaadaardig verzoek bevat, moet de site aan het verzoek voldoen omdat deze een browser gebruikt met cookies die de ingelogde gebruiker correct identificeren. Dit is een kwaadaardige activiteit waarvan de geregistreerde gebruiker zich niet bewust is. uitvoering die de aanvaller verwacht.
Het non-profit Open Worldwide Application Security Project (OWASP) beschrijft de CSRF-kwetsbaarheid:
Cross-Site Request Forgery (CSRF) is een aanval die een eindgebruiker verleidt tot het uitvoeren van ongewenste acties op een webtoepassing waar deze momenteel is geverifieerd. Met een beetje social engineering (zoals het verzenden van een link in een e-mail of chat) kan een aanvaller gebruikers van een webtoepassing dwingen om acties te ondernemen naar keuze van de aanvaller. Als het slachtoffer een normale gebruiker is, kan een succesvolle CSRF-aanval de gebruiker dwingen om statuswijzigingsverzoeken uit te voeren, zoals het overmaken van geld, het wijzigen van e-mailadressen, enz. postadres enz. Als het slachtoffer een administratief account is, kan CSRF een volledige webapplicatie in gevaar brengen. De website Common Vulnerability List (CWE), gesponsord door het Amerikaanse ministerie van Binnenlandse Veiligheid, biedt dit type CSRF-definitie: “Een webtoepassing verifieert niet of kan niet afdoende verifiëren of deze goed gevormd en geschikt is. , is er opzettelijk een sequentieel verzoek gedaan door de verzoekende gebruiker. … Wanneer een webserver is ontworpen om een verzoek van een client te ontvangen zonder enig mechanisme om te bevestigen dat het opzettelijk is verzonden, kan een aanvaller de client misleiden om per ongeluk een verzoek naar de webserver te sturen om te worden verwerkt. als authentiek verzoek. Dit kan worden gedaan via URL’s, het uploaden van afbeeldingen, XMLHttpRequest, enz., en kan gegevens of onbedoelde uitvoering van code blootleggen. In dit specifieke geval zijn de ongewenste acties beperkt tot het verwijderen van de logbestanden.
De National Vulnerability Database heeft gedetailleerde informatie over de kwetsbaarheid gepubliceerd:
“De WPCode WordPress-plug-in vóór 2.0.9 heeft een valse CSRF bij het verwijderen van een logboek en zorgt er niet voor dat het te verwijderen bestand zich in de verwachte map bevindt. Hierdoor kunnen aanvallers gebruikers met de wpcode_activate_snippets-functie dwingen om willekeurige logbestanden op de server te verwijderen, ook externe blogmappen. De WPScan-website (eigendom van Automattic) heeft een proof-of-concept-kwetsbaarheid gepubliceerd. In deze context is een proof of concept code die verifieert en aantoont dat een kwetsbaarheid kan werken. Dit is een proof of concept: “Dwing een ingelogde gebruiker met de optie wpcode_activate_snippets om een URL te openen op https://example.com/wp-admin/admin.php?page=wpcode-tools&view=logs&wpcode_action=delete_log&log=.. / ../delete-me .log Hierdoor worden ze gedwongen te worden verwijderd ~/wp-content/delete-me.log”
Tweede kwetsbaarheid in 2023
Dit is de tweede in 2023. Er is een kwetsbaarheid ontdekt in de plug-in WPCode Insert Headers and Footers. In 2023 werd nog een kwetsbaarheid ontdekt. in februari, met gevolgen voor versie 2.0.6 of eerder, beschreven door WordPress-beveiligingsbedrijf Wordfence als “Ontbrekende toegang om geheime sleutel te onthullen/bij te werken.”
Volgens het NVD-kwetsbaarheidsrapport trof de kwetsbaarheid ook versies ouder dan 2.0.7. NVD waarschuwde voor de eerdere kwetsbaarheid: “De WPCode WordPress-plug-in vóór 2.0.7 heeft geen juiste privilegecontroles voor meerdere AJAX-acties, het controleert alleen wat niet is. Als gevolg hiervan kan elke geverifieerde gebruiker die berichten kan bewerken, eindpunten aanroepen die verband houden met authenticatie in de WPCode-bibliotheek (zoals het bijwerken en verwijderen van de authenticatiesleutel).
WPCode heeft een beveiligingspatch uitgebracht
De changelog voor de WordPress-plug-in WPCode – Insert Headers and Footers Responsibly merkt op dat het een beveiligingsprobleem heeft opgelost. In de changelog-notitie voor de 2.0.9-update staat: “Fix: Aanscherping beveiliging om logs te verwijderen.” Changelog-markering is belangrijk omdat het gebruikers van plug-ins op de hoogte stelt van de inhoud van de update en hen in staat stelt een weloverwogen beslissing te nemen om door te gaan met de update of te wachten op een andere. WPCode gedroeg zich verantwoordelijk, reageerde tijdig op de ontdekking van de kwetsbaarheid en noteerde ook de beveiligingspatch in de changelog.
Aanbevolen acties
Gebruikers van de plug-in WPCode – Insert headers and Footers wordt aangeraden om hun plug-in bij te werken naar minimaal versie 2.0.9. De nieuwste versie van de plug-in is 2.0.10. Lees over de kwetsbaarheid op de NVD-website: CVE-2023-1624 Details