CVE-2024-1071 Kwetsbaarheid in WordPress-plug-ins
Er is een aanzienlijk beveiligingsprobleem onthuld in Ultimate Member, een veelgebruikte WordPress-plug-in met meer dan 200.000 actieve installaties. Deze fout, geïdentificeerd als CVE-2024-1071, heeft een hoge CVSS-score van 9,8 op 10 behaald en werd ontdekt en gerapporteerd door beveiligingsonderzoeker Christiaan Swiers. Zoals beschreven in een recent advies van Wordfence, een WordPress-beveiligingsbedrijf, is de plug-in (versies 2.1.3 tot 2.8.2) gevoelig voor SQL-injectie via de 'sorteer'-parameter vanwege onvoldoende ontsnapping op door de gebruiker opgegeven parameters en onvoldoende voorbereiding op de bestaande SQL-query.
Deze maas in de wet zou door niet-geverifieerde aanvallers kunnen worden uitgebuit om extra SQL-query's in de huidige query's in te voegen, wat zou leiden tot het extraheren van gevoelige gegevens uit de database. Het is van cruciaal belang om op te merken dat dit probleem van invloed is op gebruikers die de optie "Aangepaste tabel voor usermeta inschakelen" hebben geselecteerd in de plug-ininstellingen.
Na de verantwoorde openbaarmaking op 30 januari 2024 hebben de plug-inontwikkelaars de kwetsbaarheid onmiddellijk aangepakt door op 19 februari versie 2.8.3 uit te brengen. Gebruikers wordt sterk aangeraden hun plug-ins onmiddellijk bij te werken naar de nieuwste versie om potentiële risico's te minimaliseren, vooral omdat Wordfence dit al heeft verijdeld. één aanval waarbij is geprobeerd de fout te misbruiken in de afgelopen 24 uur.
Het is opmerkelijk dat een soortgelijke kwetsbaarheid (CVE-2023-3460, CVSS-score: 9,8) in dezelfde plug-in in juli 2023 actief werd misbruikt door bedreigingsactoren. Door deze fout te misbruiken, konden ze ongeautoriseerde beheerders creëren en de controle over kwetsbare sites overnemen.
Wat is het uniforme CVE-beoordelingssysteem voor kwetsbaarheden?
Het Common Vulnerability Scoring System (CVSS) is een gestandaardiseerd scoresysteem dat wordt gebruikt om de ernst van kwetsbaarheden in softwaresystemen te beoordelen en te communiceren. Het biedt een gemeenschappelijk raamwerk voor organisaties en individuen om de impact van beveiligingsproblemen te evalueren. De CVSS is ontworpen om leveranciersonafhankelijk te zijn en wordt breed toegepast in de cyberbeveiligingsgemeenschap.
De CVSS kent een numerieke score toe aan kwetsbaarheden op basis van verschillende factoren, waaronder de exploiteerbaarheid van de kwetsbaarheid, de impact op de vertrouwelijkheid, integriteit en beschikbaarheid van het getroffen systeem, en of de kwetsbaarheid gebruikersinteractie vereist voor exploitatie. De scores variëren van 0 tot 10, waarbij hogere scores wijzen op ernstigere kwetsbaarheden.
De CVSS heeft verschillende versies doorlopen, en de nieuwste versie vanaf mijn kennislimiet in januari 2022 is CVSSv3.1. Het biedt een verfijndere en nauwkeurigere beoordeling van kwetsbaarheden in vergelijking met eerdere versies.
Het ‘Common Vulnerabilities and Exposures’ (CVE)-systeem is daarentegen een afzonderlijk initiatief dat unieke identificatiegegevens, CVE-ID’s genoemd, toewijst aan openbaar gemaakte kwetsbaarheden. Het CVE-systeem biedt op zichzelf geen ernstscores. In plaats daarvan wordt het vaak gebruikt in combinatie met de CVSS om kwetsbaarheden op unieke wijze te identificeren en te beoordelen.
