In de ‘All-in-One’ SEO plug-in van websiteontwikkelingssoftware WordPress werden even geleden twee kritische fouten ontdekt. Aangezien veel websitebeheerders nog niet de moeite hebben genomen om de beveiligingsupdate te installeren, blijven minstens 800.000 websites kwetsbaar.
WordPress is een populaire software om websites te ontwikkelen. Door de ingebouwde SEO tool is het mogelijk geschreven teksten te optimaliseren om hoger in de zoekresultaten te belanden.
In de ‘All-in-One’ SEO plug-in ontdekte beveiligingsonderzoeker bij Automattic, Marc Montpas, begin december twee beveiligingslekken. Deze lekken maakten het mogelijk om 3 miljoen websites over te nemen. WordPress reageerde snel op de kwestie en bracht een update uit die beide kwetsbaarheden oploste.
Meer dan 800.000 sites nog kwetsbaar
Kennelijk heeft nog niet iedereen de moeite genomen om te updaten. Uit downloadgegevens blijkt dat meer dan 800.000 websites nog kwetsbaar zijn door kwetsbaarheden in de SEO plug-in. Met de kerstperiode die voor de deur staat, sluiten veel bedrijven de deuren. Websites die nog niet updatete, blijven waarschijnlijk nog enkele weken kwetsbaar.
Om de kwetsbaarheden te misbruiken moeten gebruikers bepaalde rechten krijgen. Deze rechten zijn alleen zo laag van aard dat iemand met Abonnee-rechten al een aanval kan starten via de kwetsbaarheden. Deze rechten verkrijgen gebruikers meestal om een reactie op een bericht te kunnen achterlaten.
Website overnemen
Misbruikt iemand de rechten dan kan deze persoon de kwetsbaarheid CVE-2021-25036 misbruiken. Via de kwetsbaarheid kunnen meer rechten aan zichzelf toekennen en uiteindelijk de website volledig overnemen. Ontdekker Montpas verduidelijkt dat de kwetsbaarheid nog meer mogelijkheden geeft: “Een aanvaller kan deze functie misbruiken om .htaccess-achterdeuren te verbergen en kwaadaardige code op de server uit te voeren.”
Wil je zelf de controle houden over je WordPress-berichten, dan is het een goed idee om meteen te updaten.