Er is vastgesteld dat een WordPress-plug-in met meer dan een miljoen installaties een kritieke kwetsbaarheid bevat die kan leiden tot de uitvoering van willekeurige code op gecompromitteerde websites.
De betreffende plug-in is Essentiële add-ons voor Elementordat eigenaren van WordPress-sites een bibliotheek met meer dan 80 elementen en extensies biedt om pagina’s en berichten te ontwerpen en aan te passen.
“Deze kwetsbaarheid stelt elke gebruiker in staat, ongeacht zijn authenticatie- of autorisatiestatus, een lokale aanval op het opnemen van bestanden uit te voeren,” Patchstack zei in een rapport. “Deze aanval kan worden gebruikt om lokale bestanden in het bestandssysteem van de website op te nemen, zoals /etc/passwd. Dit kan ook worden gebruikt om RCE uit te voeren door een bestand met kwaadaardige PHP-code op te nemen die normaal niet kan worden uitgevoerd.”
Dat gezegd hebbende, bestaat de kwetsbaarheid alleen als widgets zoals dynamische galerij en productgalerij worden gebruikt, die gebruikmaken van de kwetsbare functie, wat resulteert in lokale bestandsopname – een aanvalstechniek waarbij een webtoepassing wordt misleid om willekeurige bestanden op de webserver bloot te stellen of uit te voeren.
De fout treft alle versies van de add-on vanaf 5.0.4 en lager, en onderzoeker Wai Yan Myo Thet heeft de kwetsbaarheid ontdekt. Na verantwoorde onthulling werd het beveiligingslek eindelijk gedicht in versie 5.0.5 die op 28 januari werd uitgebracht “na verschillende onvoldoende patches”.
De ontwikkeling komt weken nadat bleek dat niet-geïdentificeerde acteurs hebben geknoeid met tientallen WordPress-thema’s en plug-ins die op de website van een ontwikkelaar worden gehost om een achterdeur te injecteren met als doel verdere sites te infecteren.
