Bugs in WordPress-plugins geven admin-toegang weg en wissen websites

Een lek in een WordPress-pluging van ThemeGrill geeft hackers de mogelijkheid om vanop afstand de inhoud van een website helemaal te wissen en administratortoegang te krijgen. De Profile Builder-plugin laat iedereen dan weer toe z’n eigen admin-account aan te maken.

ThemeGrill is een dienst die commerciële WordPress-thema’s voorziet voor klanten. Die kunnen gebruik maken van de ThemeGrill Demo Importer, waarmee ze democontent op hun website kunnen importeren. Zo hebben ze een houvast om mee aan de start te gaan bij de ontwikkeling van de eigen site. De Demo Importer bevatte echter een kritieke kwetsbaarheid. ThemeGrill lanceerde intussen een patch die je best meteen uitrolt als je één van de 200.000 gebruikers van de plugin bent.

Zonder de patch kunnen hackers een payload naar de website sturen die ervoor zorgt dat de hele database achter de site gewist wordt. Bovendien krijgt de aanvaller na het wissen van de database administratorprivileges voor de website. Het probleem werd ontdekt door beveiligingsbedrijf WebARX. Versies tussen 1.3.4 en 1.6.1 zijn kwetsbaar.

Profile Builder

ThemeGrill is niet de enige plugin die criminelen administratortoegang geeft tot een website. De Profile Builder-plugin heeft een gelijkaardige kwetsbaarheid aan boord. De plugin biedt een front-end voor beheer en registratie van gebruikers. Als een administrator geen standaardrol specifieert in het bijhorend formulier, kunnen aanvallers code injecteren en voor zichzelf een rol specifiëren. Dat betekent concreet dat iedereen zich tot administrator kan kronen. De plugin is geïnstalleerd op zo’n 50.000 websites. Ook voor deze bug is er intussen een update beschikbaar.

Dit lek werd ontdekt door Wordfence, dat in een blogpost meer duiding geeft. Het lek krijgt de allerhoogste kwetsbaarheidsscore van 10.0 mee en is dus kritiek. Snel updaten is de boodschap.