Luka w zabezpieczeniach wtyczki WordPress CVE-2024-1071
W Ultimate Member, powszechnie używanej wtyczce WordPress, która może pochwalić się ponad 200 000 aktywnych instalacji, wykryto znaczącą lukę w zabezpieczeniach. Luka ta, zidentyfikowana jako CVE-2024-1071, uzyskała wysoki wynik CVSS wynoszący 9,8 na 10, została odkryta i zgłoszona przez badacza bezpieczeństwa Christiaana Swiersa. Jak szczegółowo opisano w niedawnym poradniku Wordfence, firmy zajmującej się bezpieczeństwem WordPress, wtyczka (wersje od 2.1.3 do 2.8.2) jest podatna na wstrzyknięcie SQL poprzez parametr „sortowanie” z powodu nieodpowiedniej ucieczki parametrów dostarczonych przez użytkownika i niewystarczającego przygotowania istniejące zapytanie SQL.
Ta luka może zostać wykorzystana przez nieuwierzytelnionych atakujących w celu wstawienia dodatkowych zapytań SQL do obecnych zapytań, co doprowadzi do wydobycia wrażliwych danych z bazy danych. Należy pamiętać, że ten problem dotyczy użytkowników, którzy wybrali opcję „Włącz niestandardową tabelę dla metaużytkowników” w ustawieniach wtyczki.
Po odpowiedzialnym ujawnieniu w dniu 30 stycznia 2024 r. twórcy wtyczek niezwłocznie zajęli się tą luką, wydając 19 lutego wersję 2.8.3. Zdecydowanie zaleca się użytkownikom niezwłoczną aktualizację swoich wtyczek do najnowszej wersji, aby zminimalizować potencjalne ryzyko, zwłaszcza biorąc pod uwagę, że Wordfence już udaremnił jeden atak próbujący wykorzystać lukę w ciągu ostatnich 24 godzin.
Warto zauważyć, że podobna luka (CVE-2023-3460, wynik CVSS: 9,8) w tej samej wtyczce była aktywnie wykorzystywana przez cyberprzestępców w lipcu 2023 r. Wykorzystanie tej luki umożliwiło im tworzenie nieautoryzowanych użytkowników administracyjnych i przejmowanie kontroli nad podatnymi witrynami.
Czym jest ujednolicony system oceny luk w zabezpieczeniach CVE?
Common Vulnerability Scoring System (CVSS) to ustandaryzowany system punktacji używany do oceny i informowania o wadze luk w zabezpieczeniach systemów oprogramowania. Zapewnia organizacjom i osobom prywatnym wspólne ramy oceny wpływu luk w zabezpieczeniach. CVSS został zaprojektowany tak, aby był niezależny od dostawcy i jest powszechnie stosowany w społeczności zajmującej się cyberbezpieczeństwem.
CVSS przypisuje lukom ocenę liczbową na podstawie różnych czynników, w tym możliwości wykorzystania luki, wpływu na poufność, integralność i dostępność systemu, którego dotyczy luka, a także tego, czy luka wymaga interakcji użytkownika w celu wykorzystania. Wyniki mieszczą się w zakresie od 0 do 10, przy czym wyższe wyniki wskazują na poważniejsze luki.
CVSS przeszedł przez kilka wersji, a najnowsza wersja na koniec mojej wiedzy w styczniu 2022 r. to CVSSv3.1. Zapewnia bardziej wyrafinowaną i dokładną ocenę luk w zabezpieczeniach w porównaniu do wcześniejszych wersji.
Z drugiej strony system „Common Vulnerabilities and Exposures” (CVE) to osobna inicjatywa, która przypisuje unikalne identyfikatory, zwane identyfikatorami CVE, do publicznie ujawnianych luk. System CVE sam w sobie nie zapewnia oceny ważności. Zamiast tego jest często używany w połączeniu z CVSS w celu jednoznacznej identyfikacji i oceny luk w zabezpieczeniach.
