CVE-2024-1071 WordPress Plugin-sårbarhed

En betydelig sikkerhedssårbarhed er blevet afsløret i Ultimate Member, et meget brugt WordPress-plugin med over 200.000 aktive installationer. Identificeret som CVE-2024-1071, har denne fejl opnået en høj CVSS-score på 9,8 ud af 10 og blev afsløret og rapporteret af sikkerhedsforsker Christiaan Swiers. Som beskrevet i en nylig rådgivning fra Wordfence, et WordPress-sikkerhedsfirma, er plugin'et (version 2.1.3 til 2.8.2) modtageligt for SQL-injektion gennem "sortering"-parameteren på grund af utilstrækkelig escape på brugerleverede parametre og utilstrækkelig forberedelse på den eksisterende SQL-forespørgsel.

Dette smuthul kunne udnyttes af uautoriserede angribere til at indsætte yderligere SQL-forespørgsler i de nuværende forespørgsler, hvilket fører til udtrækning af følsomme data fra databasen. Det er afgørende at bemærke, at dette problem påvirker brugere, der har valgt "Aktiver tilpasset tabel for brugermeta" i plugin-indstillingerne.

Efter ansvarlig offentliggørelse den 30. januar 2024 løste plugin-udviklerne omgående sårbarheden ved at frigive version 2.8.3 den 19. februar. Brugere rådes kraftigt til at opdatere deres plugins til den nyeste version omgående for at minimere potentielle risici, især i betragtning af at Wordfence allerede har forpurret et angreb, der forsøgte at udnytte fejlen inden for de seneste 24 timer.

Det er bemærkelsesværdigt, at en lignende sårbarhed (CVE-2023-3460, CVSS-score: 9,8) i det samme plugin blev aktivt misbrugt af trusselsaktører i juli 2023. Udnyttelse af denne fejl gjorde dem i stand til at oprette uautoriserede administratorbrugere og tage kontrol over sårbare websteder.

Hvad er Unified CVE Rating System for sårbarheder?

Common Vulnerability Scoring System (CVSS) er et standardiseret scoringssystem, der bruges til at vurdere og kommunikere alvoren af sårbarheder i softwaresystemer. Det giver en fælles ramme for organisationer og enkeltpersoner til at evaluere virkningen af sikkerhedssårbarheder. CVSS er designet til at være leverandøragnostisk og er bredt udbredt i cybersikkerhedssamfundet.

CVSS tildeler en numerisk score til sårbarheder baseret på forskellige faktorer, herunder sårbarhedens udnyttelsesmuligheder, indvirkningen på fortroligheden, integriteten og tilgængeligheden af det berørte system, og om sårbarheden kræver brugerinteraktion for udnyttelse. Scoren spænder fra 0 til 10, hvor højere score indikerer mere alvorlige sårbarheder.

CVSS har gennemgået flere versioner, og den seneste version, som jeg ved, er cutoff i januar 2022, CVSSv3.1. Det giver en mere raffineret og præcis vurdering af sårbarheder sammenlignet med tidligere versioner.

"Common Vulnerabilities and Exposures" (CVE)-systemet er på den anden side et separat initiativ, der tildeler unikke identifikatorer, kaldet CVE ID'er, til offentligt offentliggjorte sårbarheder. CVE-systemet giver ikke alvorlighedsscore alene. I stedet bruges det ofte i forbindelse med CVSS til entydigt at identificere og vurdere sårbarheder.