Kwetsbaarheid van WordPress-plug-in gevonden op 80.000 sites
Beveiligingsonderzoekers ontdekten een kwetsbaarheid in een relatief populaire WordPress-plug-in die op commerciële websites wordt gebruikt. De plug-in in kwestie heet Variation Swatches for WooCommerce en is te vinden op ongeveer 80.000 websites met WordPress en de WooCommerce e-commerce plug-in.
Het beveiligingslek is ontdekt in de opgeslagen cross-scripting-functionaliteit van de Variation Swatches for WooCommerce-plug-in. De ernst van het probleem is aanzienlijk, omdat volgens onderzoekers het probleem mogelijk kwaadwillende actoren in staat zou kunnen stellen om pagina's te injecteren met kwaadaardige scripts en zelfs hele websites over te nemen.
Het doel van de Variation Swatches-plug-in, zoals de naam al doet vermoeden, is om iedereen die een winkelwebsite heeft in staat te stellen meerdere varianten van hetzelfde basisproduct weer te geven. Een paar schoenen in blauw, zwart en bruin leer zou bijvoorbeeld op drie verschillende stalen worden weergegeven. Met versies van de plug-in die de kwetsbaarheid bevatten, kan echter iedereen zonder beheerdersrechten, zelfs paginabezoekers, met de instellingen van de plug-in knoeien.
Volgens onderzoekers van Wordfence zijn drie afzonderlijke functies in de code van de Swatches-plug-in geïmplementeerd zonder "capability checks en nonce checks". Een van deze drie functies stelt onbevoegde gebruikers in staat om zowel de instellingen van de plug-in aan te passen als kwaadaardige code in te voegen die zou worden uitgevoerd wanneer de legitieme websitebeheerder de instellingen van de plug-in opent.
De kwetsbaarheid werd opgespoord onder de aanduiding CVE-2021-42367 en werd uiteindelijk gepatcht met een update die op 23 november werd uitgebracht.
De afgelopen maanden werd een onaangename stoet van bugs gedocumenteerd en uiteindelijk opgelost, op de een of andere manier gerelateerd aan het WordPress-platform. We hebben er een aantal behandeld, waaronder een andere plug-in-bug waarmee onbevoegde gebruikers hele websites konden wissen, en de nep-ransomware-angst die verband hield met een andere WordPress-plug-in.