De National Vulnerability Database (NVD) van de Amerikaanse overheid heeft een waarschuwing gepubliceerd over een kwetsbaarheid die is ontdekt in de plug-in WordPress WP Statistics en die tot 600.000 actieve installaties treft.

De kwetsbaarheid kreeg een gemiddeld dreigingsniveauscore van 6,5 op een schaal van 1 tot 10, waarbij niveau 10 het meest ernstige kwetsbaarheidsniveau vertegenwoordigt.

WP Statistics Cross-Site Request Forgery (CSRF)

De plug-in WP Statistics bleek een kwetsbaarheid voor het vervalsen van cross-site verzoeken te bevatten waardoor een aanvaller een website kon binnendringen door plug-ins in of uit te schakelen.

Een cross-site verzoekvervalsing is een aanval waarbij een geregistreerde websitegebruiker (zoals een beheerder) een actie moet uitvoeren, zoals klikken op een link, waardoor een aanvaller een beveiligingslek kan misbruiken.

De inbreuk op de beveiliging is in dit geval een “ontbrekende of onjuiste nonce-validatie”.

Een WordPress nonce is een beveiligingstoken dat wordt verstrekt aan een geregistreerde gebruiker waarmee die gebruiker veilig acties kan uitvoeren die alleen een geregistreerde gebruiker kan uitvoeren.

De ontwikkelaarspagina’s van WordPress leggen het probleem uit met het voorbeeld van een beheerder die een bericht verwijdert.

geen enkele keer

WordPress kan een dergelijke URL genereren wanneer een gebruiker op beheerdersniveau een bericht verwijdert.

Hieronder is een hypothetisch voorbeeld van een URL die wordt gegenereerd bij het verwijderen van een bericht met een ID-nummer van 123:

http://example.com/wp-admin/post.php?post=123&action=trash

Een geregistreerde WordPress-sitebeheerder zou een nonce verzamelen en de URL zou er in het voorbeeld zo uit kunnen zien:

http://example.com/wp-admin/post.php?post=123&action=trash&_wpnonce=b192fc4204

Dit laatste deel, &_wpnonce=b192fc4204, is de nonce.

Dus wat er gebeurt, is dat de nonce ontbreekt of niet correct gevalideerd is binnen de WP Statistics-plug-in en dit creëert een beveiligingslek dat een kwaadwillende hacker kan misbruiken.

De Nationale Kwetsbaarheidsdatabase (NVD) legt het zo uit:

“De WP Statistics-plug-in voor WordPress is kwetsbaar voor cross-site verzoekvervalsing in versies tot en met 13.1.1. Dit komt door ontbrekende of onjuiste nonce-validatie in de view()-functie.

Hierdoor kunnen niet-geverifieerde aanvallers willekeurige plug-ins in- en uitschakelen, met behulp van een vervalst verzoek dat wordt ingewilligd en dat een sitebeheerder kan misleiden tot het uitvoeren van een actie, zoals het klikken op een link.

CSRF-kwetsbaarheidspatch

De kwetsbaarheid van de plug-in WP Statistics treft versie tot en met 13.1.1. Sindsdien zijn er echter talloze beveiligingsreparaties toegevoegd, waaronder versie 13.2.11, evenals aanvullende fixes later.

De huidige versie van de plug-in is 14.0.1. Op dit moment gebruikt slechts 29,3% van de gebruikers de meest actuele versie.

Gebruikers van de verouderde versie van de plug-in kunnen overwegen om te upgraden naar de nieuwste versie.

Lees de veiligheidsverklaring van NVD:

CVE-2021-4333 Detail

Uitgelichte afbeelding door Shutterstock/Asier Romero

Source link