Een plug-in om WordPress-sites sneller te laden is kwetsbaar voor een SQL injection-aanval. WP Fastest Cache wordt door meer dan een miljoen websites ingezet. Het merendeel van deze sites (600.000) heeft nog een kwetsbare versie in gebruik.
Het laat zich raden waarom WP Fastest Cache populair is: de makers ervan beloven het RAM- en CPU-gebruik van de website te verlagen. Aangezien Google deze factor meetelt voor de plaatsing van links in zoekresultaten, is het voor eindgebruikers een uiterst aantrekkelijke plug-in. Ook is het eenvoudig om te installeren, zoals vaker het geval is bij WordPress-oplossingen als deze.
Patchen, patchen, patchen
Het lijkt erop dat veel gebruikers de plug-in vervolgens niet consequent updaten. Op de WordPress-website is te zien dat 44,9 procent versie 1.2 draait, hoewel niet te zien is wie de belangrijke update naar 1.2.2 heeft gemaakt waarin de bug is opgelost. Wel zijn er na elke updates steeds meer gebruikers die deze direct downloaden.
Het WPScan-securityteam ontdekte de SQL injection-kwetsbaarheid tijdens een intern onderzoek. Door de bug te exploiteren kunnen aanvallers de “volledige inhoud van de WordPress database” lezen met een SQL injection payload. Daarmee kan een kwaadwillende informatie lekken, aanpassen of verwijderen. Privégegevens worden in potentie ook onbedoeld inzichtelijk bij een dergelijke aanval.
Lees ook: Duizenden gehackte WordPress-sites sturen bezoekers door naar scam sites
Concreet beïnvloedt de kwetsbaarheid de is_user_admin-functie binnen de ‘WpFastestCacheCreateCache’ class in de plug-in. Daar kijkt de plug-in via de $username-waarde of een gebruiker tot de administrateurs behoort. Het probleem is dat deze input verder niet geverifieerd werd in versies vóór 1.2.2.
De kwetsbaarheid staat inmiddels bekend als CVE-2023-6063. Op CVE.org is er verder geen informatie beschikbaar op het moment van schrijven, hoewel dat hier al wel het geval is.
SQL injections raken allerlei applicaties, zoals dit jaar ook managed file transfer-applicatie MOVEit. Daarbij gingen talloze klantgegevens verloren als gevolg van een kwetsbaarheid in mei.
Tip: Hoe de MOVEit-kwetsbaarheid al sinds mei slachtoffers maakt
2 dagen geleden
