Kritisk sårbarhed i populært WordPress-plugin gør over 100.000 hjemmesider åbne for hackere

Ved at udnytte en sårbarhed i et populært WordPress-plugin kan en uautoriseret bruger slette hele databaser og efterfølgende blive administrator.

Et populært WordPress-plugin, der er installeret på mere end 100.000 hjemmesider, indeholder en alvorlig sårbarhed, der gør det muligt for en uautoriseret bruger at slette hele databaser og få fuld kontrol over hjemmesiderne.

Det drejer sig om plugin'et 'ThemeGrill Demo Importer', der følger med i både gratis og premium WordPress-temaer fra softwareudvikleren ThemeGrill. Plugin'et bruges til at importere demo-indhold, widgets og tema-indstillinger med et enkelt klik. Ifølge it-sikkerhedsvirksomheden WebARX kan plugin'et udføre en række funktioner med administratorrettigheder uden at tjekke, om den bruger, der kører koden, er autentificeret som admin.

»Det er en alvorlig sårbarhed, som kan forårsage en betydelig mængde skade,« skriver WebARX og tilføjer, at man ikke forventer, at nogen firewall som standard vil blokere en udnyttelse af sårbarheden.

Læs også: Sikkerhedsfirma: Ni ud af ti cms-hacks rammer sider med Wordpress

For at udnytte sårbarheden kræver det, at der er et tema fra ThemeGrill installeret og aktiveret. Er dette tilfældet, kan en hacker målrette sit angreb mod en hjemmeside, så hele den bagvedliggende database slettes. Hvis der derudover har fandtes en 'admin'-bruger, så vil hackeren automatisk efterfølgende være logget på som administrator og dermed have fuld kontrol over hjemmesiden. Det er dog muligt at slette hele databasen, uden der findes en 'admin'-bruger.

Plugin'et var 15. februar installeret på mere end 200.000 hjemmesider, men dette tal er nu faldet til lidt mere end 100.000. Ifølge WebARX af ukendte årsager. Sårbarheden findes i ThemeGrill Demo Importer version 1.3.4 op til 1.6.1, som alle er udgivet inden for de sidste tre år. Der findes en patch, som kan hentes her.

Her ses det, at der ikke tjekkes for om brugeren er administrator, og at det kun kræver parameteren 'do_reset_wordpress' i URL'en på enhver 'admin'-side i WordPress, herunder /wp-admin/admin-ajax.php, at slette den bagvedliggende database og genskabe WordPress' standard database. Illustration: Screenshot fra www.webarxsecurity.com
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#5 Per Borch

Sikkerheds patch Released

At der så efterfølgende er 100.000 sites der lader sig hacke.. er noget der i den grad sender SortePer videre til de ansvarlige for driften af de enkelt sider.. Jeg kender godt alle undskyldningerne for ikke at have auto opdates på siderne.. De mange livefixes det er lavet på et site = modvilje til autoupdates..

Det simpethen ikke noget man kan klandre dem der laver plugins eller temaer for, at folk ikke opdater når der bliver frigivet et patch..

Selv har jeg brugt Wordpress i 15 år.. og supportere tæt på 2 tusinde danske WordPress medlemmer i Jylland gennem meetup.com.. og er vært i Aarhus, Herning og normalt deltager i Viborg ved de måndelige meetups

Det er min erfaring at det stort set altid er mangel på opdatering og custom CSS der er skyld i fejl på brugernes sider..

For mig eget ved kommede bruger jeg helst ikke mere end:

site.info { display: none; }

ja jeg kan måske mere end det.. men hvorfor give sig selv problemer ved fremtidige ugentlige opdateringer.

  • 0
  • 1
Log ind eller Opret konto for at kommentere