Er is ontdekt dat de WordPress-beveiligingsplug-in twee kwetsbaarheden heeft die kwaadaardige uploads, cross-site scripting en het bekijken van de inhoud van willekeurige bestanden mogelijk maken.

Alles-in-één beveiligingsplug-in voor WordPress (AIOS).

De All-In-One Security (AIOS) WordPress-plug-in, geleverd door de uitgevers van UpdraftPlus, biedt beveiligings- en firewallfunctionaliteit die is ontworpen om hackers te blokkeren.

Het biedt inlogbeveiliging die aanvallers blokkeert, plagiaatbescherming, directe linkblokkering, spamcommentaarblokkering en een firewall die dient als verdediging tegen hackingbedreigingen.

De plug-in dwingt ook proactieve beveiliging af door gebruikers te waarschuwen voor veelvoorkomende fouten, zoals het gebruik van de gebruikersnaam “admin”.

Het is een complete beveiligingssuite die wordt ondersteund door de makers van Updraft Plus, een van de meest vertrouwde WordPress-plug-in-editors.

Deze kwaliteiten maken AIOS erg populair, met meer dan een miljoen WordPress-installaties.

Twee kwetsbaarheden

De National Vulnerability Database (NVD) van de Amerikaanse overheid heeft twee waarschuwingen afgegeven over twee kwetsbaarheden.

1. Fout bij gegevensopschoning

De eerste kwetsbaarheid is te wijten aan een fout bij het opschonen van gegevens, met name het niet ontsnappen aan logbestanden.

Gegevens schrobben is een basisbeveiligingsproces dat alle gevoelige gegevens verwijdert uit de uitvoer die door een plug-in wordt gegenereerd.

WordPress heeft zelfs een ontwikkelaarspagina gewijd aan het onderwerp, met voorbeelden van hoe het te doen en wanneer het te doen.

De WordPress-ontwikkelaarspagina over uitlaten legt uit:

“Output escapen is het proces waarbij uitvoergegevens worden beveiligd door ongewenste gegevens zoals HTML-tags of verkeerd opgemaakte scripts te verwijderen.

Dit proces helpt uw ​​gegevens te beschermen voordat deze aan de eindgebruiker worden weergegeven.”

De NVD beschrijft deze kwetsbaarheid:

“De WordPress All-In-One Security (AIOS) plug-in ouder dan 5.1.5 ontsnapt niet aan de inhoud van logbestanden voordat deze naar de admin-pagina van de plug-in wordt gestuurd, waardoor een geautoriseerde gebruiker (beheerder +) valse logbestanden kan planten die kwaadaardig JavaScript bevatten code. die zal worden uitgevoerd in de context van elke beheerder die deze pagina bezoekt.”

2. Directory traversal-kwetsbaarheid

De tweede kwetsbaarheid lijkt een Path Traversal-kwetsbaarheid te zijn.

Door dit beveiligingslek kan een aanvaller een beveiligingslek misbruiken om toegang te krijgen tot bestanden die normaal gesproken niet toegankelijk zouden zijn.

Het non-profit Open Worldwide Application Security Project (OWASP) waarschuwt dat een succesvolle aanval kritieke systeembestanden in gevaar kan brengen.

“Een path traversal-aanval (ook bekend als directory traversal) heeft tot doel toegang te krijgen tot bestanden en mappen die buiten de webhoofdmap zijn opgeslagen.

Door variabelen te manipuleren die verwijzen naar bestanden met “punt-punt-slash (../)”-reeksen en hun variaties of door absolute bestandspaden te gebruiken, kan het mogelijk zijn om toegang te krijgen tot willekeurige bestanden en mappen die zijn opgeslagen op het systeem van bestanden, inclusief broncode of applicatie-instellingen. en kritieke systeembestanden”.

De NVD beschrijft deze kwetsbaarheid:

“De WordPress All-In-One Security (AIOS)-plug-in vóór 5.1.5 beperkt de logbestanden die op de instellingenpagina’s worden weergegeven niet, waardoor een geautoriseerde gebruiker (admin +) de inhoud van de bestanden willekeurig kan bekijken en kan weergeven mappen overal op de server (waartoe de webserver toegang heeft).

De plug-in geeft alleen de laatste 50 regels van het bestand weer.

Beide kwetsbaarheden vereisen dat een aanvaller inloggegevens op beheerdersniveau bemachtigt om de aanval te kunnen misbruiken, wat het moeilijk kan maken om de aanval uit te voeren.

Er wordt echter verwacht dat een beveiligingsplug-in dit soort vermijdbare kwetsbaarheden niet heeft.

Overweeg om de WordPress AIOS-plug-in bij te werken

AIOS heeft een patch uitgebracht voor versie 5.1.6 van de plug-in. Gebruikers kunnen overwegen om te upgraden naar ten minste versie 5.1.6, en mogelijk de nieuwste versie, 5.1.7, die een bug verhelpt die optreedt wanneer de firewall niet is geconfigureerd.

Lees beide NVD-beveiligingsbulletins

CVE-2023-0157 Onjuiste neutralisatie van invoer tijdens het genereren van webpagina’s (‘Cross-site Scripting’)

CVE-2023-0156 Onjuiste beperking van een padnaam tot een beperkte map (‘Path Traversal’)

Uitgelichte afbeelding door Shutterstock/Kues

Source link