Kritiek lek in plug-in WP Maps Pro raakt vijftienduizend WordPress-sites

[Captain Kirk]

Een kritieke kwetsbaarheid in de plug-in WP Maps Pro, waardoor een ongeauthenticeerde aanvaller admin kan worden, raakt meer dan vijftienduizend websites. Er is een update uitgebracht om het probleem te verhelpen, maar het is onbekend hoeveel websites die hebben geïnstalleerd. Via WP Maps Pro kunnen WordPress-sites kaarten van Google Maps en OpenStreetMap integreren en daarop verschillende vestigingen of locaties tonen, alsmede routers en andere informatie.

Het gaat hier om een commerciële plug-in, die volgens de ontwikkelaars bijna zestienduizend keer is verkocht. De plug-in beschikte over een 'tijdelijke toegangsfeature' waardoor de ontwikkelaar tijdelijk toegang tot de websites van klanten kon krijgen om zo eventuele problemen te verhelpen. Deze functie is beveiligd met een 'nonce check', maar een beveiligingsonderzoeker ontdekte dat ongeauthenticeerde gebruikers deze nonce kunnen achterhalen, waardoor ze de functie alsnog kunnen aanroepen om vervolgens admin-toegang tot de website krijgen, zo waarschuwt securitybedrijf Wordfence.

Een aanvaller kan zo malafide plug-ins installeren, backdoors injecteren, data stelen of webshells installeren om toegang tot de gecompromitteerde server te behouden. Het ontwikkelteam kwam op 20 mei met versie 6.1.1 waarin een "temporary access permission issue" is verholpen. Inmiddels is versie 6.1.2 verschenen waarin de tijdelijke toegangsfeature vanwege een "security reason" volledig is verwijderd. In tegenstelling tot gratis WordPress-plug-ins die via WordPress.org worden aangeboden zijn er in het geval van commerciële plug-ins geen cijfers over versienummers bekend. Daardoor is het onduidelijk hoeveel websites met de plug-in WP Maps Pro up-to-date zijn.

 

bron: https://www.security.nl