CVE-2024-1071 WordPress Plugin-sårbarhet

En betydande säkerhetssårbarhet har avslöjats i Ultimate Member, en flitigt använd WordPress-plugin med över 200 000 aktiva installationer. Denna brist, identifierad som CVE-2024-1071, har fått ett högt CVSS-poäng på 9,8 av 10 och upptäcktes och rapporterades av säkerhetsforskaren Christiaan Swiers. Som beskrivs i en nyligen publicerad rådgivning från Wordfence, ett WordPress-säkerhetsföretag, är plugin-programmet (versionerna 2.1.3 till 2.8.2) mottagligt för SQL-injektion genom parametern "sortering" på grund av otillräcklig escape på parametrar som användaren tillhandahåller och otillräcklig förberedelse på den befintliga SQL-frågan.

Detta kryphål kan utnyttjas av oautentiserade angripare för att infoga ytterligare SQL-frågor i de aktuella frågorna, vilket leder till extrahering av känslig data från databasen. Det är viktigt att notera att det här problemet påverkar användare som har valt alternativet "Aktivera anpassad tabell för användarmeta" i plugininställningarna.

Efter ansvarsfullt avslöjande den 30 januari 2024 åtgärdade plugin-utvecklarna omedelbart sårbarheten genom att släppa version 2.8.3 den 19 februari. Användare rekommenderas starkt att uppdatera sina plugins till den senaste versionen omedelbart för att minimera potentiella risker, särskilt med tanke på att Wordfence redan har motverkats en attack som försökte utnyttja felet under de senaste 24 timmarna.

Det är anmärkningsvärt att en liknande sårbarhet (CVE-2023-3460, CVSS-poäng: 9,8) i samma plugin missbrukades aktivt av hotaktörer i juli 2023. Att utnyttja denna brist gjorde det möjligt för dem att skapa obehöriga administratörsanvändare och ta kontroll över sårbara webbplatser.

Vad är Unified CVE Rating System för sårbarheter?

Common Vulnerability Scoring System (CVSS) är ett standardiserat poängsystem som används för att bedöma och kommunicera allvaret av sårbarheter i mjukvarusystem. Det ger ett gemensamt ramverk för organisationer och individer att utvärdera effekten av säkerhetsbrister. CVSS är utformad för att vara leverantörs-agnostisk och är allmänt antagen inom cybersäkerhetsgemenskapen.

CVSS tilldelar sårbarheter ett numeriskt betyg baserat på olika faktorer, inklusive sårbarhetens exploatering, påverkan på konfidentialitet, integritet och tillgänglighet för det berörda systemet, och om sårbarheten kräver användarinteraktion för utnyttjande. Poängen sträcker sig från 0 till 10, med högre poäng som indikerar allvarligare sårbarheter.

CVSS har gått igenom flera versioner, och den senaste versionen som jag vet, cutoff i januari 2022 är CVSSv3.1. Det ger en mer förfinad och korrekt bedömning av sårbarheter jämfört med tidigare versioner.

Systemet "Common Vulnerabilities and Exposures" (CVE) är å andra sidan ett separat initiativ som tilldelar unika identifierare, kallade CVE-ID, till offentligt avslöjade sårbarheter. CVE-systemet ger inte svårighetspoäng på egen hand. Istället används det ofta i samband med CVSS för att unikt identifiera och bedöma sårbarheter.