De National Vulnerability Database (NVD) van de Amerikaanse overheid heeft een waarschuwing afgegeven over de Shortcodes Ultimate WordPress-plug-in, waarin werd gewaarschuwd dat deze een kwetsbaarheid voor cross-site request-vervalsing bevatte.
Shortcodes Ultimate is een zeer populaire WordPress-plug-in met meer dan 700.000 actieve installaties.
De kwetsbaarheid treft versies van de plug-in die ouder zijn dan de huidige versie 5.12.2.
Kwetsbaarheid van cross-site verzoekvervalsing
Vervalsing van verzoeken op verschillende sites, gewoonlijk CSRF genoemd, is een type kwetsbaarheid die in het ergste geval kan leiden tot een overname van een website.
Dit soort kwetsbaarheden zijn over het algemeen te wijten aan het richten op een softwarefout die een wijziging kan veroorzaken, wat kan leiden tot onbedoelde gevolgen.
Een succesvolle aanval is over het algemeen afhankelijk van een gebruiker, bijvoorbeeld met beheerdersrechten, die op een link klikt en per ongeluk informatie onthult, zoals een sessiecookie die kan worden gebruikt om zich voor die persoon uit te geven.
Dit type kwetsbaarheid is gebaseerd op social engineering, waarbij een eindgebruiker wordt gemanipuleerd om een actie uit te voeren die vervolgens misbruik maakt van de kwetsbaarheid van de plug-in.
Volgens het Open Web Application Security Project (OWASP):
“CSRF is een aanval die het slachtoffer misleidt om een kwaadaardig verzoek te verzenden.
Het erft de identiteit en privileges van het slachtoffer om namens het slachtoffer een ongewenste functie uit te voeren…
Voor de meeste sites bevatten browserverzoeken automatisch alle referenties die aan de site zijn gekoppeld, zoals de sessiecookie van de gebruiker, IP-adres, Windows-domeinreferenties, enz.
Daarom, als de gebruiker momenteel is geauthenticeerd op de site, kan de site geen onderscheid maken tussen het vervalste verzoek dat door het slachtoffer is verzonden en een legitiem verzoek dat door het slachtoffer is verzonden.”
Nationale Kwetsbaarheid Database (NVD)
De Nationale Kwetsbaarheidsdatabase publiceerde slechts enkele details over de kwetsbaarheid. Er is momenteel geen volledige analyse van de kwetsbaarheid zelf.
In het NVD-bericht stond het volgende:
“Cross-site request forgery (CSRF) kwetsbaarheid in de Shortcodes Ultimate-plug-in <= 5.12.0 op WordPress die leidt tot een wijziging in de standaardinstellingen van de plug-in."
De officiële Shortcodes Ultimate GitHub changelog was even vaag en beschreef de update om de kwetsbaarheid te verhelpen:
“### 5.12.1
**Beveiligingsvrijgave**
Deze update verhelpt een beveiligingsprobleem in de shortcode-generator. Dank aan Dave John voor het uitzoeken.”
Ondertussen legt de WordPress plugin repository changelog uit:
“Probleem opgelost met voorinstellingen voor shortcode-generator, geïntroduceerd in vorige update”
De changelog hierboven lijkt de naam van de beveiligingsonderzoeker verkeerd te spellen, die correct gespeld is Dave Jong, CTO van Patchstack, de persoon aan wie de kwetsbaarheid is ontdekt en gerapporteerd.
Aanbevolen handelwijze
WordPress-uitgevers die momenteel de shortcodes-plug-in gebruiken, moeten overwegen om te upgraden naar de nieuwste versie, die op het moment van schrijven versie 5.12.2 is.
citaten
Lees de National Vulnerability Database Notice
CVE-2022-38086 Detail
Lees de Patchstack-aankondiging
WordPress Shortcodes Ultimate Plugin <= 5.12.0 - Kwetsbaarheid van Cross-Site Request Forgery (CSRF)
Uitgelichte afbeelding door Shutterstock/Cookie Studio
Hey, ik ben Brent, en ik speel al een lange tijd mee in de SEO scene. Ik ben vooral heel actief in de Amerikaanse markt, en hou dan ook wel van een uitdaging. Ik ben sinds kort aan het uitbreiden binnenin de Benelux, en besluit hier dan ook te oversharen!
Wil je meer leren, klik dan op lees meer!
