image

WordPress-sites kwetsbaar door kritiek beveiligingslek in Anti-Spam-plug-in

dinsdag 26 november 2024, 10:07 door Redactie, 1 reacties

Meer dan honderdduizend WordPress-sites zijn kwetsbaar voor aanvallen door kritieke kwetsbaarheden in de plug-in 'Anti-Spam, FireWall by CleanTalk'. Via de kwetsbaarheden (CVE-2024-10542 en CVE-2024-10781) kan een ongeauthenticeerde aanvaller op afstand willekeurige plug-ins op WordPress-sites installeren, wat kan leiden tot remote code execution. Anti-Spam, FireWall by CleanTalk moet WordPres-sites beschermen tegen spam in onder andere reacties en andere onderdelen.

De plug-in is kwetsbaar voor een 'authorization bypass via reverse dns-spoofing', zo meldt securitybedrijf Wordfence. Een functie voor het installeren van plug-ins kijkt naar verschillende onderdelen voordat het mogelijk is een plug-in te installeren, waaronder ip-adres en de aanwezigheid van het domein 'cleantalk.org' in het request. De genoemde kwetsbaarheid maakt het mogelijk voor een aanvaller om deze controle te omzeilen. Zo vindt de controle op het ip-adres plaats op basis van door de gebruiker gedefinieerde parameters. Een gebruiker kan dan ook een ander ip-adres opgeven, waardoor het lijkt alsof het om het ip-adres van ontwikkelaar CleanTalk gaat.

Daarnaast wordt gecontroleerd of het request om een plug-in te installeren afkomstig is van het domein cleantalk.org. De controle kijkt alleen naar de aanwezigheid van de string 'cleantalk.org'. Een aanvaller kan de controle omzeilen door een subdomein te gebruiken zoals ‘cleantalk.org.evilsite.com'. Zodoende kan een aanvaller een request naar de kwetsbare functie sturen waarmee het mogelijk is om op de betreffende WordPress-site een plug-in te installeren.

De ontwikkelaar werd op 30 oktober ingelicht en kwam op 1 november met een gedeeltelijke oplossing (6.44). Een aantal dagen werd een tweede authorization bypass ontdekt (CVE-2024-10542), waardoor het wederom mogelijk is voor aanvallers om op afstand plug-ins te installeren. Op 14 november verscheen versie 6.45 waarin ook dit probleem is opgelost. Uit cijfers van WordPress.org blijkt dat een groot aantal websites nog versie 6.44 of lager draait en kwetsbaar is. Het zou om zo'n 56 procent van de meer dan 200.000 websites gaan die van de plug-in gebruikmaken.

Reacties (1)
26-11-2024, 18:13 door Anoniem
Ik gebruik geen WordPress, ik hoop dat ik op dit gebied dan veilig ben?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.