Kritisk sårbarhed i populært WordPress-plugin gør over 100.000 hjemmesider åbne for hackere

18. februar 2020 kl. 14:505
Ved at udnytte en sårbarhed i et populært WordPress-plugin kan en uautoriseret bruger slette hele databaser og efterfølgende blive administrator.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Et populært WordPress-plugin, der er installeret på mere end 100.000 hjemmesider, indeholder en alvorlig sårbarhed, der gør det muligt for en uautoriseret bruger at slette hele databaser og få fuld kontrol over hjemmesiderne.

Det drejer sig om plugin'et 'ThemeGrill Demo Importer', der følger med i både gratis og premium WordPress-temaer fra softwareudvikleren ThemeGrill. Plugin'et bruges til at importere demo-indhold, widgets og tema-indstillinger med et enkelt klik. Ifølge it-sikkerhedsvirksomheden WebARX kan plugin'et udføre en række funktioner med administratorrettigheder uden at tjekke, om den bruger, der kører koden, er autentificeret som admin.

»Det er en alvorlig sårbarhed, som kan forårsage en betydelig mængde skade,« skriver WebARX og tilføjer, at man ikke forventer, at nogen firewall som standard vil blokere en udnyttelse af sårbarheden.

For at udnytte sårbarheden kræver det, at der er et tema fra ThemeGrill installeret og aktiveret. Er dette tilfældet, kan en hacker målrette sit angreb mod en hjemmeside, så hele den bagvedliggende database slettes. Hvis der derudover har fandtes en 'admin'-bruger, så vil hackeren automatisk efterfølgende være logget på som administrator og dermed have fuld kontrol over hjemmesiden. Det er dog muligt at slette hele databasen, uden der findes en 'admin'-bruger.

Artiklen fortsætter efter annoncen

Plugin'et var 15. februar installeret på mere end 200.000 hjemmesider, men dette tal er nu faldet til lidt mere end 100.000. Ifølge WebARX af ukendte årsager. Sårbarheden findes i ThemeGrill Demo Importer version 1.3.4 op til 1.6.1, som alle er udgivet inden for de sidste tre år. Der findes en patch, som kan hentes her.

Her ses det, at der ikke tjekkes for om brugeren er administrator, og at det kun kræver parameteren 'do_reset_wordpress' i URL'en på enhver 'admin'-side i WordPress, herunder /wp-admin/admin-ajax.php, at slette den bagvedliggende database og genskabe WordPress' standard database.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
20. februar 2020 kl. 02:58

Sikkerheds patch Released

At der så efterfølgende er 100.000 sites der lader sig hacke.. er noget der i den grad sender SortePer videre til de ansvarlige for driften af de enkelt sider.. Jeg kender godt alle undskyldningerne for ikke at have auto opdates på siderne.. De mange livefixes det er lavet på et site = modvilje til autoupdates..

Det simpethen ikke noget man kan klandre dem der laver plugins eller temaer for, at folk ikke opdater når der bliver frigivet et patch..

Selv har jeg brugt Wordpress i 15 år.. og supportere tæt på 2 tusinde danske WordPress medlemmer i Jylland gennem meetup.com.. og er vært i Aarhus, Herning og normalt deltager i Viborg ved de måndelige meetups

Det er min erfaring at det stort set altid er mangel på opdatering og custom CSS der er skyld i fejl på brugernes sider..

For mig eget ved kommede bruger jeg helst ikke mere end:

site.info { display: none; }

ja jeg kan måske mere end det.. men hvorfor give sig selv problemer ved fremtidige ugentlige opdateringer.

4
18. februar 2020 kl. 22:24

I toppen af svaret (fungerer bedre på engelsk)

1
18. februar 2020 kl. 15:18

Under armen?