Ernstig zerodaylek duikt op in WordPress plug-in
Naar schatting lopen meer dan 200.000 WordPress-websites het risico op aanvallen via het zeroday-lek. Het lek bevindt zich in de populaire Ultimate Member plug-in.
Beveiligingsbedrijf Wordfence achterhaalde het beveiligingslek in de Ultimate Member plug-in voor WordPress. De onderzoekers stellen dat de plug-in meer dan 200.000 keer is gedownload, en dus op meer dan 200.000 websites actief is, die allemaal het risico lopen om aangevallen te worden. Concreet gaat het om een privilege escalation-kwetsbaarheid, waardoor aanvallers zich als beheerder kunnen registeren en zo controle over data in het CMS verkrijgen.
Wordfence ontdekte dat het datalek actief wordt misbruikt, en zich in het aanmeldformulier van de plug-in bevindt. Dit formulier bepaalt de rol die een gebruiker krijgt in WordPress. Normaliter krijgen gebruikers een account zonder administratorrechten toegewezen. De bug in het aanmeldformulier zorgt er echter voor dat hackers de waarde die de rechten beheert, “wp_capabilities”, aan kunnen passen.
Het datalek, geregistreerd onder CVE-code CVE-2023-3460, kreeg de status ‘kritiek’ mee, en een 9,8 op een schaal van 1-10 als impactschatting. Dit heeft er hoofdzakelijk mee te maken dat het lek voor kwaadwillenden relatief makkelijk te misbruiken is. Bovendien krijgen ze ineens toegang tot de hele backend van WordPress.
Geen update beschikbaar
Wat de ernst vermeerdert is het ontbreken van beveiligingspatches. De laatst beschikbare versie, 6.2.2, is nog niet gepatcht. Aangeraden wordt om de plug-in te verwijderen van je WordPress-installatie tot de ontwikkelaars een update uitbrengen.
Ultimate Member wordt door veel WordPress-sites gebruikt om abonnementsdiensten aan te bieden. Hiermee kun je eenvoudig een digitale community opzetten zonder zelf te moeten denken aan het beheren van accounts in het CMS. Ook draagt de plug-in zorg voor de betalingen. Met de plug-in kun je bijvoorbeeld extra content beschikbaar stellen aan betalende gebruikers, wat vaak een terugkerend thema is bij nieuwspublicaties.