- Door
- Arnout Veenman
- geplaatst op
- 8 april 2015 10:36 uur
Er is opnieuw een lek ontdekt in één van de populairste WordPress plugins. Een maand geleden werd er een ernstig lek ontdekt in de WordPress SEO plugin van Yoast. Dit keer is het de WP Super Cache plugin waar een XSS-lek in ontdekt is. De plugin wordt door miljoenen websites gebruikt om WordPress sneller te maken.
WP Super Cache is één van de populairste plugins voor WordPress die er is. De plugin wordt gebruikt om WordPress door middel van caching te versnellen. De plugin is alleen al vanaf WordPress.org ruim 7,1 miljoen keer gedownload. Door het lek zijn daarom waarschijnlijk miljoenen WordPress-installaties getroffen.
Volgens Sucuri dat het lek bij toeval heeft ontdekt gaat het om een XSS-lek dat het mogelijk maakt om malafide scripts toe te voegen aan de pagina met bestanden die gecached zijn. Deze scripts kunnen dan gebruikt worden om bijvoorbeeld een nieuwe administrator aan de WordPress-installatie toe te voegen of backdoors en malware aan WordPress themes toe te voegen. Praktisch kan door het lek de volledige website worden overgenomen.
Het is echter wel de vraag hoe bruikbaar het lek voor aanvallers is. Om de aanval te kunnen uitvoeren, moet de aanvaller er eerst voor zorgen dat er malafide scripts worden toegevoegd aan de zogeheten cached file list. Dat levert geen moeilijkheden op. Echter moet daarna een gebruiker met administrator-bevoegdheden op een bepaalde pagina kijken van de WP Super Cache plugin. Dat maakt het uitvoeren van een succesvolle aanval iets lastiger.
Volgens Sucuri is een aanval met behulp van het lek desalniettemin eenvoudig uit te voeren en gevaarlijk. Gebruikers van de WP Super Cache plugin zouden daarom zo snel mogelijk moeten updaten. In versie 1.4.4 van de plugin is het lek gedicht.
Op Twitter heeft Exsillia Internet als eerste Nederlandse hoster aangekondigd om WordPress installaties met de plugin actief te gaan updaten. Het is niet bekend of andere hosters dat ook zullen doen. Andere hosters waarschuwen op Twitter wel al voor het lek.
i.v.m. een kwetsbaarheid in een WP plugin zullen wij geforceerd updates uitvoeren op uw WP installatie. Zie http://t.co/St1R5j2Ja6
— Exsilia Internet (@ExsiliaInternet) April 8, 2015
'Ruim miljoen WordPress-installaties vatbaar voor xss-kwetsbaarheid plugin' http://t.co/EcopEHxWIM via @tweakers
— True 🤖 (@true_nl) April 8, 2015
'Ruim miljoen WordPress-installaties vatbaar voor xss-kwetsbaarheid plugin' http://t.co/sl3b3oHZWk via @tweakers
— Wielink websolutions (@wielinkweb) April 8, 2015