2min Security

WordPress getroffen door twee kritieke kwetsbaarheden

WordPress getroffen door twee kritieke kwetsbaarheden

Patchstack waarschuwt dat hackers twee premium add-ons kunnen misbruiken die voornamelijk worden gebruikt op vastgoedwebsites. De Houzez thema plugin zou meer dan 35.000 klanten in de vastgoedsector bedienen door het aanbieden van eenvoudig listing management en een soepele klantervaring.

Volgens Patchstack threat researcher Dave Jong werden de twee kwetsbaarheden ontdekt en gerapporteerd aan de leverancier van het thema, ThemeForest, waarbij het ene gebrek werd verholpen in versie 2.6.4 (augustus 2022) en het andere in versie 2.7.2 (november 2022).

Ondanks de beschikbaarheid van beveiligingsupdates waarschuwt een recent rapport van Patchstack dat sommige websites de patch niet hebben toegepast, waardoor ze kwetsbaar blijven voor voortdurende aanvallen.

Kritieke kwetsbaarheden

Patchstack meldt dat het eerste Houzez-fout, CVE-2023-26540, op een schaal van 10 beoordeeld wordt met een 9,8 als het gaat om ernst. Het lek is een beveiligingsfout in de Houzez Theme plugin versie 2.7.1 en ouder, waardoor aanvallers op afstand privilege-escalatie kunnen uitvoeren zonder dat authenticatie vereist is. De versie die dit probleem verhelpt is Houzez Theme 2.7.2 of nieuwer.

De tweede fout heeft de identificatie CVE-2023-26009 gekregen, is ook kritiek (CVSS v3.1: 9.8) en treft de Houzez Login Register plugin. Het betreft versies 2.6.3 en ouder, waardoor ongeautoriseerde aanvallers privilege-escalatie kunnen uitvoeren op sites die de plugin gebruiken. De versie die dit beveiligingsrisico aanpakt is Houzez Login Register 2.6.4 of nieuwer.

Hoe hackers de gebreken misbruiken

Bedreigers misbruiken deze kwetsbaarheden door een verzoek te sturen naar het endpoint dat luistert naar verzoeken voor het aanmaken van accounts. Door een bug in de validatiecontrole aan de serverzijde kan het verzoek worden opgesteld om een beheerder op de site aan te maken, waardoor de aanvallers de WordPress-site volledig kunnen controleren. Bij de aanvallen hebben de dreigingsactoren een achterdeur geüpload waarmee ze opdrachten kunnen uitvoeren, advertenties op de website kunnen injecteren of verkeer kunnen omleiden naar schadelijke sites.

Aangezien de gebreken momenteel worden misbruikt, benadrukt Patchstack dat website-eigenaren en -beheerders de beschikbare patches dringend moeten toepassen om te voorkomen dat ze kwetsbaar worden voor aanvallen.

Lees ook: Meer dan 11.000 kwetsbare WordPress websites gevonden