2min Security

Malware-scanner maakt meer dan 10.000 WordPress-sites juist kwetsbaar

Malware-scanner maakt meer dan 10.000 WordPress-sites juist kwetsbaar

Twee kritieke kwetsbaarheden in WordPress-plug-ins van miniOrange zullen nooit gepatcht worden. Meer dan 10.000 websites gebruiken de Malware Scanner-plug-in om aanvallers op te sporen, maar de tool is juist exploiteerbaar door kwaadwillenden.

De kwetsbaarheid in Malware Scanner werd vermeld door WordPress-onderzoeker Stiofan O’Connor voor een zogeheten Bug Bounty Extravaganza van Wordfence. Hoewel het aantal actieve installaties relatief laag is (het minimum is normaliter 50.000 voor Bug Bounty-beloningen), maakte Wordfence een uitzondering wegens de ernstige aard van de kwetsbaarheid.

Niet meer onderhouden

Na verder onderzoek bleek ook de Web Application Firewall-plug-in van miniOrange vatbaar. In dat laatste geval gaat het echter slechts om ruim 300 installaties. De kwetsbaarheid maakt privilege escalation mogelijk en is veroorzaakt door een ontbrekende capability check in alle versies van beide tools. Kwaadwillenden kunnen zichzelf opwerken naar admin op de getroffen WordPress-sites, die allemaal de plug-ins moeten verwijderen.

CVE-2024-2172 geldt als aanduiding voor de kwetsbaarheid binnen beide plug-ins. Vanuit Wordfence is een score van 9.8 meegegeven, met zoals gebruikelijk 10.0 als maximum.

MiniOrange blijkt na navraag van Wordfence de plug-ins niet meer te onderhouden, waardoor de onderzoekers benadrukken dat de installatie op WordPress-sites ervan gevaarlijk is. Omdat de ontwikkelaars de plug-in überhaupt niet van updates voorzien, kan de tool ook niet scannen op toekomstige dreigingen die het zonder patch niet opspoort.

Wordfence stelt daarnaast dat aanvallers via de kwetsbaarheid een backdoor kunnen installeren. Dit houdt in dat een site zelfs na het verwijderen van de miniOrange-plug-in gecompromitteerd is. Websitebezoekers kunnen hierdoor eveneens doorverwezen worden naar malafide links, die verdere schade kunnen aanrichten bij deze gebruikers.

Lees ook: Duizenden websites geïnfecteerd via kwetsbare Popup Builder WordPress-plugin