Een WordPress anti-spam plug-in met meer dan 60.000 installaties repareerde een kwetsbaarheid voor PHP-objectinjectie die voortkwam uit onjuiste invoeropschoning en vervolgens gebruikersinvoer toestond die was gecodeerd in base64.
Injectie van niet-geverifieerde PHP-objecten
Er is een kwetsbaarheid ontdekt in het populaire Stop Spammers Security | Blokkeer spamgebruikers, opmerkingen, vorm WordPress-plug-ins.
Het doel van de plug-in is om spam in reacties, formulieren en registratielogboeken tegen te houden. Het kan spambots stoppen en heeft de mogelijkheid voor gebruikers om IP-adressen in te voeren om te blokkeren.
Het is een verplichte praktijk voor elke WordPress-plug-in of elk formulier dat gebruikersinvoer accepteert om alleen specifieke invoer toe te staan, zoals tekst, afbeeldingen, e-mailadressen, welke invoer dan ook wordt verwacht.
Onverwachte inzendingen moeten worden uitgefilterd. Dit filterproces dat ongewenste invoer voorkomt, wordt opschoning genoemd.
Een contactformulier moet bijvoorbeeld een functie hebben die inspecteert wat wordt ingediend en alles blokkeert (opschoont) dat geen tekst is.
De kwetsbaarheid die in de antispam-plug-in werd ontdekt, maakte gecodeerde (base64-gecodeerde) invoer mogelijk die vervolgens een soort kwetsbaarheid kan veroorzaken die een PHP-objectinjectiekwetsbaarheid wordt genoemd.
De kwetsbaarheidsbeschrijving die op de WPScan-website is gepubliceerd, beschrijft het probleem als:
“De plug-in geeft base64-gecodeerde gebruikersinvoer door aan de PHP-functie unserialize() wanneer CAPTCHA’s worden gebruikt als een tweede uitdaging, wat kan leiden tot PHP-objectinjectie als een plug-in die op de blog is geïnstalleerd een goede gadgetketen heeft…”
De kwetsbaarheidsclassificatie is onveilige deserialisatie.
Het non-profit Open Web Application Security Project (OWASP) beschrijft de potentiële impact van dit soort kwetsbaarheden als ernstig, wat al dan niet het specifieke geval van dit beveiligingslek kan zijn.
De beschrijving in OWASP:
“De impact van deserialisatiefouten kan niet genoeg worden benadrukt. Deze fouten kunnen leiden tot externe code-uitvoeringsaanvallen, een van de ernstigste aanvallen die mogelijk zijn.
De impact op het bedrijf hangt af van de toepassing en de behoeften aan gegevensbescherming.”
Maar OWASP merkt ook op dat het misbruiken van dit type kwetsbaarheid meestal moeilijk is:
“Het exploiteren van deserialisatie is enigszins moeilijk, aangezien commerciële exploits zelden werken zonder wijzigingen of aanpassingen aan de onderliggende exploitcode.”
De kwetsbaarheid van de plug-in WordPress Stop Spammers Security is verholpen in versie 2022.6
De officiële Stop Spammers Security changelog (een beschrijving met datums voor verschillende updates) vermeldt de fix als een beveiligingsverbetering.
Gebruikers van de Stop Spam Security-plug-in moeten overwegen om te upgraden naar de nieuwste versie om te voorkomen dat een hacker de plug-in misbruikt.
Lees de officiële melding op de National Vulnerability Database van de Amerikaanse overheid:
CVE-2022-4120 Detail
Lees het WPScan-bericht voor meer informatie over deze kwetsbaarheid:
Stop de beveiliging van spammers < 2022.6 - Injectie van niet-geverifieerde PHP-objecten
Uitgelichte afbeelding door Shutterstock/Luis Molinero
Hey, ik ben Brent, en ik speel al een lange tijd mee in de SEO scene. Ik ben vooral heel actief in de Amerikaanse markt, en hou dan ook wel van een uitdaging. Ik ben sinds kort aan het uitbreiden binnenin de Benelux, en besluit hier dan ook te oversharen!
Wil je meer leren, klik dan op lees meer!
