Een populaire WordPress-plug-in om sneller mails te verzenden, blijkt 150.000 websites kwetsbaar te maken voor een overname. De ontwikkelaars van het zogeheten POST SMTP hebben echter snel gehandeld: een patch is al beschikbaar.
Wordfence bericht dat de kwetsbaarheid tijdens een bug bounty-programma in december is ingezonden. Nadat ontwikkelaar WPExperts.io ingelicht werd, zou men volgens Wordfence snel gehandeld hebben. Een officiële patch was al op 1 januari beschikbaar. Echter blijken nog 150.000 websites deze patch niet geïnstalleerd te hebben.
Werking
De kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde toegang tot data te krijgen. Ook kan deze informatie aangepast worden om een API-key te resetten die de mailer van authenticatie voorziet. Eveneens zijn logs in te zien door de kwetsbaarheid, inclusief inloggegevens. Het eindresultaat kan een volledige overname van de website betekenen.
De oorzaak is een zogeheten type juggling-kwetsbaarheid. Dat houdt in dat alle versies van de plug-in tot 2.8.8 een ‘loose’ comparison operator bevatten die ‘strict’ hoort te zijn. Een aanvaller heeft in dit geval dus toegang tot een van de variabelen, waardoor authorisatie omzeild kan worden.
Extra firewall-rule
Klanten van de betaalde Wordfence-dienst zijn al op 3 januari voorzien van een firewall-rule die leed zou moeten voorkomen. Gratis gebruikers van het platform krijgen op 2 februari toegang tot dezelfde beschermingslaag.
POST SMTP is bedoeld om het standaard PHP-mailsysteem binnen WordPress te vervangen met het SMTP-protocol. Een belangrijk voordeel van deze plug-in is dat verzonden e-mails minder vaak in de spamfolder zouden moeten belanden.
Aangezien er talloze WordPress-plug-ins bestaan, is het niet erg verwonderlijk dat er meermaals kwetsbaarheden optreden. Dat makt ze niet minder gevaarlijk, zoals bleek bij de WP Fastest Cache-plug-in in november, gebruikt door meer dan een miljoen websites.