2min Security

Een miljoen WordPress-sites kwetsbaar door lek in meertaligheids-plugin

Een miljoen WordPress-sites kwetsbaar door lek in meertaligheids-plugin

Een kritieke kwetsbaarheid in WPML, een populaire plugin die WordPress-sites meertalig maakt, stelt aanvallers in staat websites op afstand over te nemen. De plugin heeft meer dan één miljoen actieve installaties. Het lek was al gedicht voor gebruikers van de security-plugin Wordfence. Een fix door de maker van de plugin liet meer dan twee maanden op zich wachten.

De kwetsbaarheid, die de aanduiding CVE-2024-6386 heeft gekregen en een severity score van 9.9 van 10, maakte server-side template injection mogelijk, te wijten aan ontbrekende invoervalidatie. Dit kan worden misbruikt voor remote code execution.

De kwetsbaarheid kwam half juni aan het licht door een security-onderzoeker die Wordfence tipte via hun Bug Bounty Program. Wordfence reageerde door eind juni een firewallregel uit te brengen voor Wordfence Premium, Wordfence Care, en Wordfence Response-gebruikers om hen te beschermen tegen mogelijke exploits. Ook gebruikers van de gratis versie van Wordfence kregen deze bescherming op 27 juli.

Snelle actie bleef uit

Ondanks herhaalde pogingen om de ontwikkelaar van de plugin, OnTheGoSystems, te bereiken, bleef een reactie uit tot 1 augustus . Pas na volledige openbaarmaking van de details, werd op 20 augustus een patch vrijgegeven in versie 4.6.13.

WPML is een plugin die WordPress-sites meertalig maakt en actief is op meer dan één miljoen websites. Vanwege de kwetsbaarheid is het voor aanvallers met geauthenticeerde toegang tot de post editor mogelijk om de volledige website over te nemen. Het hebben van die toegang is overigens wel een voorwaarde om dit te kunnen doen.

Dringend updaten noodzakelijk

Wordfence benadrukt dat beheerders dringend moeten updaten naar de nieuwste versie van de plugin om risico’s te vermijden. Omdat WPML een betaalde plugin is, zijn er geen publieke gegevens beschikbaar over hoeveel installaties inmiddels zijn bijgewerkt.

WordPress-plugins zijn dankbare achterdeurtjes voor kwaadwillenden. Onlangs nog bleek LiteSpeed Cache, een populaire WordPress-plugin voor site-optimalisatie, een kwetsbaarheid te bevatten waarmee hackers zichzelf admin-rechten over de site konden geven en in feite de complete inboedel overnemen. Deze plugin zou zo’n 5 miljoen WordPress-sites kwetsbaar maken voor dergelijke escalation-of-privileges aanvallen.

Lees verder: Kwetsbaarheid in populaire WordPress-plugin geeft hackers volledige controle