Er is een zeer ernstig beveiligingslek ontdekt in de WordPress-plug-in GiveWP voor donaties en fondsenwerving. Deze kwetsbaarheid stelt meer dan 100.000 websites bloot aan aanvallen met code-uitvoering op afstand.
Het lek, dat wordt getraceerd als CVE-2024-5932 (CVSS-score: 10,0), heeft invloed op alle versies van de plug-in vóór versie 3.14.2, die op 7 augustus 2024 werd uitgebracht. Een beveiligingsonderzoeker, die online bekendstaat als villu164, wordt gecrediteerd voor het ontdekken en melden van het probleem.
Wordfence meldde deze week in een rapport dat de plugin ‘kwetsbaar is voor PHP Object Injection in alle versies tot en met 3.14.1 via deserialisatie van niet-vertrouwde invoer van de ‘give_title’-parameter.’
“Hierdoor kunnen niet-geverifieerde aanvallers een PHP-object injecteren. De extra aanwezigheid van een POP-keten stelt aanvallers in staat om code op afstand uit te voeren en willekeurige bestanden te verwijderen.”
Het beveiligingslek is geworteld in een functie met de naam ‘give_process_donation_form()’, die wordt gebruikt om de ingevoerde formuliergegevens te valideren en op te schonen voordat de donatiegegevens, inclusief de betalingsgegevens, naar de opgegeven gateway worden gestuurd.
Als de fout succesvol wordt uitgebuit, kan een geverifieerde kwaadwillende actor schadelijke code op de server uitvoeren. In dat geval is het van groot belang dat gebruikers stappen ondernemen om hun exemplaren bij te werken naar de nieuwste versie.
De onthulling komt enkele dagen nadat Wordfence ook een ander kritiek beveiligingslek in de WordPress-plug-ins InPost PL en InPost voor WooCommerce (CVE-2024-6500, CVSS-score: 10,0) heeft beschreven. Deze fout maakt het voor niet-geverifieerde kwaadwillenden mogelijk om willekeurige bestanden te lezen en te verwijderen, waaronder het bestand wp-config.php.
Op Linux-systemen kunnen alleen bestanden in de WordPress-installatiedirectory worden verwijderd, maar alle bestanden kunnen worden gelezen. Het probleem is gepatcht in versie 1.4.5.
Een andere kritieke tekortkoming in JS Help Desk, een WordPress-plugin met meer dan 5.000 actieve installaties, is ook ontdekt (CVE-2024-7094, CVSS-score: 9,8) als het mogelijk maken van externe code-uitvoering vanwege een PHP-code-injectiefout. Een patch voor de kwetsbaarheid is uitgebracht in versie 2.8.7.
Hieronder staan enkele andere beveiligingslekken die in verschillende WordPress-plug-ins zijn opgelost:
- CVE-2024-6220 (CVSS-score: 9,8) – Een willekeurige bestandsuploadfout in de 简数采集器 (Keydatas)-plug-in waarmee niet-geverifieerde aanvallers willekeurige bestanden kunnen uploaden naar de server van de getroffen site, wat uiteindelijk resulteert in code-uitvoering
- CVE-2024-6467 (CVSS-score: 8,8) – Een willekeurig leesprobleem in de BookingPress-plug-in voor het boeken van afspraken, waardoor geauthenticeerde aanvallers met toegang op abonneeniveau en hoger willekeurige bestanden kunnen maken en willekeurige code kunnen uitvoeren of toegang kunnen krijgen tot gevoelige informatie
- CVE-2024-5441 (CVSS-score: 8,8) – Een willekeurige bestandsuploadfout in de Modern Events Calendar-plug-in waarmee geauthenticeerde aanvallers met abonnementstoegang en hoger willekeurige bestanden kunnen uploaden naar de server van de getroffen site en code kunnen uitvoeren
- CVE-2024-6411 (CVSS-score: 8,8) – Een privilege-escalatiefout in de ProfileGrid – User Profiles, Groups and Communities-plug-in waarmee geverifieerde aanvallers met toegang op abonneeniveau en hoger hun gebruikersmogelijkheden kunnen bijwerken naar die van een beheerder
Het patchen van deze kwetsbaarheden vormt een cruciale verdedigingslinie tegen aanvallen die deze kwetsbaarheden misbruiken om creditcardskimmers te installeren waarmee financiële informatie van bezoekers van de site kan worden verzameld.
Vorige week bracht Sucuri een skimmercampagne aan het licht die PrestaShop e-commercewebsites injecteert met schadelijke JavaScript-code. Deze code maakt gebruik van een WebSocket-verbinding om creditcardgegevens te stelen.
Het websitebeveiligingsbedrijf van GoDaddy heeft eigenaren van WordPress-sites ook gewaarschuwd voor het installeren van ongeldige plug-ins en thema’s. Deze kunnen namelijk malware en andere kwaadaardige activiteiten verspreiden.
“Uiteindelijk is het vasthouden aan legitieme plug-ins en thema’s een fundamenteel onderdeel van verantwoord websitebeheer. De beveiliging mag nooit in gevaar worden gebracht omwille van een snelkoppeling”, aldus Sucuri.