CVE-2024-1071 WordPress-plugin-sårbarhet
En betydelig sikkerhetssårbarhet har blitt avslørt i Ultimate Member, en mye brukt WordPress-plugin med over 200 000 aktive installasjoner. Identifisert som CVE-2024-1071, har denne feilen oppnådd en høy CVSS-score på 9,8 av 10 og ble avdekket og rapportert av sikkerhetsforsker Christiaan Swiers. Som beskrevet i en nylig rådgiving fra Wordfence, et WordPress-sikkerhetsselskap, er plugin-modulen (versjon 2.1.3 til 2.8.2) mottakelig for SQL-injeksjon gjennom "sortering"-parameteren på grunn av utilstrekkelig escape på brukerleverte parametere og utilstrekkelig forberedelse på den eksisterende SQL-spørringen.
Dette smutthullet kan utnyttes av uautentiserte angripere til å sette inn flere SQL-spørringer i de nåværende spørringene, noe som fører til utvinning av sensitive data fra databasen. Det er viktig å merke seg at dette problemet påvirker brukere som har valgt alternativet "Aktiver tilpasset tabell for brukermeta" i plugin-innstillingene.
Etter ansvarlig avsløring 30. januar 2024, løste plugin-utviklerne omgående sikkerhetsproblemet ved å lansere versjon 2.8.3 19. februar. Brukere anbefales på det sterkeste å oppdatere pluginene sine til den nyeste versjonen umiddelbart for å minimere potensielle risikoer, spesielt med tanke på at Wordfence allerede har hindret ett angrep som forsøkte å utnytte feilen i løpet av de siste 24 timene.
Det er bemerkelsesverdig at en lignende sårbarhet (CVE-2023-3460, CVSS-score: 9,8) i samme plugin ble aktivt misbrukt av trusselaktører i juli 2023. Ved å utnytte denne feilen kunne de opprette uautoriserte administratorbrukere og ta kontroll over sårbare nettsteder.
Hva er Unified CVE Rating System for sårbarheter?
Common Vulnerability Scoring System (CVSS) er et standardisert poengsystem som brukes til å vurdere og kommunisere alvorlighetsgraden av sårbarheter i programvaresystemer. Det gir et felles rammeverk for organisasjoner og enkeltpersoner for å evaluere virkningen av sikkerhetssårbarheter. CVSS er utformet for å være leverandøragnostisk og er bredt tatt i bruk i nettsikkerhetssamfunnet.
CVSS tildeler en numerisk poengsum til sårbarheter basert på ulike faktorer, inkludert utnyttelsen av sårbarheten, innvirkningen på konfidensialitet, integritet og tilgjengelighet til det berørte systemet, og om sårbarheten krever brukerinteraksjon for utnyttelse. Poengene varierer fra 0 til 10, med høyere poengsum indikerer mer alvorlige sårbarheter.
CVSS har gått gjennom flere versjoner, og den siste versjonen som jeg vet cutoff i januar 2022 er CVSSv3.1. Det gir en mer raffinert og nøyaktig vurdering av sårbarheter sammenlignet med tidligere versjoner.
"Common Vulnerabilities and Exposures" (CVE)-systemet er derimot et eget initiativ som tildeler unike identifikatorer, kalt CVE-IDer, til offentlig avslørte sårbarheter. CVE-systemet gir ikke alvorlighetsscore alene. I stedet brukes den ofte sammen med CVSS for å identifisere og vurdere sårbarheter unikt.
