WordPress-sites kwetsbaar door kritiek beveiligingslek in Anti-Spam-plug-in
Meer dan honderdduizend WordPress-sites zijn kwetsbaar voor aanvallen door kritieke kwetsbaarheden in de plug-in 'Anti-Spam, FireWall by CleanTalk'. Via de kwetsbaarheden (CVE-2024-10542 en CVE-2024-10781) kan een ongeauthenticeerde aanvaller op afstand willekeurige plug-ins op WordPress-sites installeren, wat kan leiden tot remote code execution. Anti-Spam, FireWall by CleanTalk moet WordPres-sites beschermen tegen spam in onder andere reacties en andere onderdelen.
De plug-in is kwetsbaar voor een 'authorization bypass via reverse dns-spoofing', zo meldt securitybedrijf Wordfence. Een functie voor het installeren van plug-ins kijkt naar verschillende onderdelen voordat het mogelijk is een plug-in te installeren, waaronder ip-adres en de aanwezigheid van het domein 'cleantalk.org' in het request. De genoemde kwetsbaarheid maakt het mogelijk voor een aanvaller om deze controle te omzeilen. Zo vindt de controle op het ip-adres plaats op basis van door de gebruiker gedefinieerde parameters. Een gebruiker kan dan ook een ander ip-adres opgeven, waardoor het lijkt alsof het om het ip-adres van ontwikkelaar CleanTalk gaat.
Daarnaast wordt gecontroleerd of het request om een plug-in te installeren afkomstig is van het domein cleantalk.org. De controle kijkt alleen naar de aanwezigheid van de string 'cleantalk.org'. Een aanvaller kan de controle omzeilen door een subdomein te gebruiken zoals ‘cleantalk.org.evilsite.com'. Zodoende kan een aanvaller een request naar de kwetsbare functie sturen waarmee het mogelijk is om op de betreffende WordPress-site een plug-in te installeren.
De ontwikkelaar werd op 30 oktober ingelicht en kwam op 1 november met een gedeeltelijke oplossing (6.44). Een aantal dagen werd een tweede authorization bypass ontdekt (CVE-2024-10542), waardoor het wederom mogelijk is voor aanvallers om op afstand plug-ins te installeren. Op 14 november verscheen versie 6.45 waarin ook dit probleem is opgelost. Uit cijfers van WordPress.org blijkt dat een groot aantal websites nog versie 6.44 of lager draait en kwetsbaar is. Het zou om zo'n 56 procent van de meer dan 200.000 websites gaan die van de plug-in gebruikmaken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.