Af Eskil Sørensen, 30/01/20
En alvorlig sårbarhed i en ikke-patchet version af en såkaldt Code Snippets-plugin, som anvendes til Wordpress-sider, gør det muligt for angribere at overtage Wordpress-sider med det pågældende plugin. Ifølge Wordpress er plugin’et installeret på over 200.000 Wordpress-sider, hvoraf godt 140.000 sider fortsat ikke har installeret den seneste version. Det skriver Bleeping Computer den 29. januar.
Med det pågældende plugin kan brugere på en nem måde afvikle ”PHP Code Snippets” på deres hjemmeside. Helt generelt er Code Snippers nogle få programlinjer, som adresserer en bestemt funktion, man er interesseret i. Plugin’en Code Snippets er så en slags redaktionelt værktøj, som typisk anvendes af udviklere i forbindelse med programmeringen. Det indeholder et grafisk interface i samme stil som selve plugin-menuen, som man kan bruge til at administrere sine kodelinjer med.
WordPress Cross-Site Request Forgery
Fejlen gør det muligt for en angriber at lave en forespørgsel på vegne af en administrator og derigennem indsætte kode på en sårbar side. Det er det, der i tekniske termer betegnes som et Cross-Site Requets Forgery (CSRF). Den indsatte kode kan så udnyttes af en angriber til at afvikle skadelig kode på hjemmesider med Code Snippets installeret.
Almindeligvis beskytter man sine sider mod CSRF, men det er ikke sket i Code Snippets importfunktion, hvorfor en angriber har kunnet lokke en administrator til at inficere sin egen side med malware, som så kan anvendes til fx at lave nye administratorkonti, få adgang til følsom information, inficere brugerne af hjemmesiden mv.
Sårbarheden har nummeret CVE-2020-8417 og har fået CVSS-scoren 8.8 på en skala fra 1 til 10. CVSS står for Common Vulnerability Scoring System og er en internationalt anerkendt standard til vurdering af kritikaliteten af en sårbarhed. En høj CVSS-score på en sårbarhed betyder, at det er relativt nemt for en angriber at udnytte sårbarheden.
Hvad er et plugin?
Et plugin er et stykke software, som kan føjes til en Wordpress-side, og som udvider funktionaliteten på siden. På den officielle liste over Wordpress-plugins er der flere tusinde gratis plugins, som man kan tilføje på sine side og dermed få flere features, uden at man behøver at kende til kodning. Et eksempel på et Wordpress-plugin er fx en kontaktformular, et Twitter-ikon eller en statistik-modul. Plugins betegnes af flere som årsagen til Wordpress’ store udbredelse.
Anbefaling:
Wordpress opfordrer administratorer til at opdatere til den seneste version (2.14.0) med det samme.