Meerdere versies van WordPress plugin ‘Essential Addons for Elementor’ zijn kwetsbaar voor remote code execution (RCE). Honderdduizenden websites gebruiken deze plugin en lopen daardoor gevaar. De kwetsbaarheid is aanwezig in elke versie voor 5.0.5.

De aanvalsoppervlakte is gigantisch. Volgens WordPress is de plugin op minstens 1 miljoen websites geïnstalleerd. Versie 5.0.5 is sinds 28 januari beschikbaar en patcht het probleem. De update werd ongeveer 380.000 keer gedownload, wat betekent dat grofweg 600.000 websites risico lopen.

De kwetsbaarheid stelt een ongemachtigde gebruiker in staat om een bestand (bijvoorbeeld .php) aan een website te voeren om code uit te voeren, ook wel file inclusion attack. Lokale toegang is benodigd. Ook moeten de ‘dynamic gallery’ en ‘product gallery’ widgets van Essential Addons for Elementor ingeschakeld zijn.

Essential Addons for Elementor patch

De kwetsbaarheid werd op 25 januari bevestigd door Wai Yan Muo Thet, onderzoeker bij Patchstack. De ontwikkelaar van Essential Addons for Elementor was reeds op de hoogte van het probleem.

Voor het onderzoek van Patchstack probeerde de ontwikkelaar de kwetsbaarheid twee keer te patchen: eerst met versie 5.0.3, vervolgens met versie 5.0.4. Patchstack onderzocht de effectiviteit van de patch in versie 5.0.4. De kwetsbaarheid bleek nog steeds aanwezig.

De feedback van Patchstack stelde de ontwikkelaar in staat om het probleem met versie 5.0.5 op te lossen. 5.0.5 is beschikbaar via deze pagina en het WordPress dashboard. Updaten is de meest effectieve maatregel.

Tip: WordPress 5.9 beschikbaar – themes aanpasbaar met no-code interface

File inclusion attacks voorkomen

Website BleepingComputer.com deelde een aantal adviezen om administrators te helpen bij het voorkomen van file inclusion attacks. De richtlijn is bedoeld om de schade van toekomstige kwetsbaarheden te beperken.

  • “Sla file paths op in een veilige database en geef elk file path een ID.”
  • “Gebruik geverifieerde en beveiligde allowlist-bestanden. Negeer al het andere.”
  • “Gebruik een web server nooit om bestanden te verwerken die aangetast kunnen worden. Kies in plaats daarvan voor een database.”
  • “Configureer de server om automatisch download headers te versturen in plaats van bestanden uit te voeren in een specifieke directory.”