De WordPress-plug-in WPCode – Insert Headers and Footers + Custom Code Snippets, met meer dan een miljoen installaties, bleek een kwetsbaarheid te hebben waardoor een aanvaller bestanden van de server zou kunnen verwijderen.
De kwetsbaarheidswaarschuwing is gepubliceerd in de National Vulnerability Database (NVD) van de Amerikaanse overheid.
Voeg de plug-in Kop- en voetteksten in
De WPCode-plug-in (voorheen bekend als Insert Headers and Footers door WPBeginner), is een populaire plug-in waarmee WordPress-uitgevers codefragmenten kunnen toevoegen aan het kop- en voettekstgebied.
Dit is handig voor uitgevers die Google Search Console-sitevalidatiecode, CSS-code, gestructureerde gegevens, zelfs AdSense-code moeten toevoegen, vrijwel alles dat thuishoort in de voettekst van een site.
Cross-site request forgery (CSRF) kwetsbaarheid.
De plug-in WPCode – Insert Headers and Footers vóór versie 2.0.9 bevat wat is geïdentificeerd als een Cross-Site Request Forgery (CSRF)-kwetsbaarheid.
Een CSRF-aanval is gebaseerd op het misleiden van een eindgebruiker die is geregistreerd op de WordPress-site om op een link te klikken die een ongewenste actie uitvoert.
De aanvaller vertrouwt in feite op de inloggegevens van de geregistreerde gebruiker om acties uit te voeren op de site waar de gebruiker is geregistreerd.
Wanneer een ingelogde WordPress-gebruiker op een link klikt die een kwaadaardig verzoek bevat, wordt de site gedwongen om aan het verzoek te voldoen omdat deze een browser gebruikt met cookies die de gebruiker correct identificeert als ingelogd.
Het is de kwaadaardige actie die de geregistreerde gebruiker onbewust uitvoert waarop de aanvaller rekent.
Het non-profit Open Worldwide Application Security Project (OWASP) beschrijft een CSRF-kwetsbaarheid:
“Cross-Site Request Forgery (CSRF) is een aanval die een eindgebruiker dwingt om ongewenste acties uit te voeren op een webapplicatie waarin hij momenteel is geauthenticeerd.
Met een beetje hulp van social engineering (zoals het verzenden van een link via e-mail of chat) kan een aanvaller gebruikers van een webtoepassing misleiden om acties te ondernemen naar keuze van de aanvaller.
Als het slachtoffer een normale gebruiker is, kan een succesvolle CSRF-aanval de gebruiker dwingen om statuswijzigingsverzoeken uit te voeren, zoals het overmaken van geld, het wijzigen van zijn e-mailadres, enz.
Als het slachtoffer een administratief account is, kan CSRF de hele webapplicatie in gevaar brengen.”
De website Common Weakness Enumeration (CWE), die wordt gesponsord door het Amerikaanse ministerie van Binnenlandse Veiligheid, geeft een definitie van dit type CSRF:
“De webapplicatie kan niet of onvoldoende verifiëren dat een goed geformuleerd, geldig en consistent verzoek opzettelijk is ingediend door de gebruiker die het verzoek heeft ingediend.
… Wanneer een webserver is ontworpen om een verzoek van een client te ontvangen zonder enig mechanisme om te verifiëren dat het opzettelijk is verzonden, is het voor een aanvaller mogelijk om een client te misleiden om een onbedoeld verzoek te doen aan de webserver die zal worden behandeld als een oprecht verzoek.
Dit kan via een URL, afbeelding uploaden, XMLHttpRequest, etc. en kan leiden tot gegevensblootstelling of onbedoelde code-uitvoering.”
In dit specifieke geval zijn de ongewenste acties beperkt tot het verwijderen van logbestanden.
De National Vulnerability Database heeft details over de kwetsbaarheid gepubliceerd:
“De WPCode WordPress-plug-in vóór 2.0.9 heeft een slechte CSRF bij het verwijderen van het record en garandeert niet dat het te verwijderen bestand zich in de verwachte map bevindt.
Hierdoor kunnen aanvallers ervoor zorgen dat gebruikers met de wpcode_activate_snippets-mogelijkheid willekeurige logbestanden op de server verwijderen, ook buiten de blogmappen.
De WPScan-website (eigendom van Automattic) heeft een proof of concept voor de kwetsbaarheid gepubliceerd.
Een proof of concept is in deze context code die verifieert en aantoont dat een kwetsbaarheid kan werken.
Dit is het proof-of-concept:
“Laat een ingelogde gebruiker met de functie wpcode_activate_snippets de volgende URL openen https://example.com/wp-admin/admin.php?page=wpcode-tools&view=logs&wpcode_action=delete_log&log=../../delete-me . log Hierdoor zullen ze de ~/wp-content/delete-me.log verwijderen”
Tweede kwetsbaarheid voor 2023
Dit is de tweede kwetsbaarheid die in 2023 werd ontdekt voor de plug-in WPCode Insert Headers and Footers.
Een andere kwetsbaarheid werd ontdekt in februari 2023, die van invloed was op versies 2.0.6 en lager, die het Wordfence WordPress-beveiligingsbedrijf omschreef als een “Ontbrekende autorisatie voor openbaarmaking/update van gevoelige sleutels”.
Volgens het kwetsbaarheidsrapport van NVD trof de kwetsbaarheid ook versies tot 2.0.7.
De NVD waarschuwde voor bovenstaande kwetsbaarheid:
“De WPCode WordPress-plug-in vóór 2.0.7 heeft geen juiste privilegecontroles voor verschillende AJAX-acties, alleen controle op geen.
Hierdoor kan elke geverifieerde gebruiker die berichten kan bewerken authenticatiegerelateerde eindpunten in de WPCode-bibliotheek aanroepen (zoals het bijwerken en verwijderen van de authenticatiesleutel).
WPCode heeft een beveiligingspatch uitgegeven
De changelog voor de plug-in WPCode – Insert WordPress Headers and Footers vermeldt op verantwoorde wijze dat ze een beveiligingsprobleem hebben opgelost.
Een changelog-notatie voor de 2.0.9-update vermeldt:
“Fix: versterking van de beveiliging voor het verwijderen van records.”
Changelog-notatie is belangrijk omdat het plug-ingebruikers op de hoogte stelt van de inhoud van de update en hen in staat stelt een weloverwogen beslissing te nemen over doorgaan met de update of wachten tot de volgende.
WPCode heeft verantwoordelijk gehandeld door tijdig te reageren op de ontdekking van kwetsbaarheden en ook de beveiligingsfix in de changelog te noteren.
Aanbevolen acties
Gebruikers van de plug-in WPCode – Insert Headers and Footers wordt aangeraden om hun plug-in bij te werken naar minimaal versie 2.0.9.
De meest recente versie van de plug-in is 2.0.10.
Lees over de kwetsbaarheid op de website van de NVD:
CVE-2023-1624 Detail
Hey, ik ben Brent, en ik speel al een lange tijd mee in de SEO scene. Ik ben vooral heel actief in de Amerikaanse markt, en hou dan ook wel van een uitdaging. Ik ben sinds kort aan het uitbreiden binnenin de Benelux, en besluit hier dan ook te oversharen!
Wil je meer leren, klik dan op lees meer!
