Onderzoekers hebben een ernstige bug aangetroffen in de WP Live Chat Support plugin. Dit is al de tweede keer in zes weken tijd dat er een kwetsbaarheid in de plugin wordt aangetroffen die serieuze gevolgen kan hebben voor de veiligheid van duizenden WordPress websites. De nieuwste bug stelt hackers in staat om hun eigen code te injecteren bij websites die deze plugin draaien.
Over WP Live Chat Support
WP Live Chat Support is een open source plugin voor WordPress die gebruikers in staat stelt om een live chat functionaliteit op hun websites te zetten voor klantenservice doeleinden. De plugin heeft op het moment meer dan 60.000 actieve installaties.
Kwetsbaarheid in admin_init
Volgens Sucuri ligt de kwetsbaarheid bij een onbeschermde admin_init hook (een hook is een manier voor een stukje code om met een ander stukje code te interageren). WordPress roept de admin_init hook aan wanneer iemand de admin pagina van een WordPress site bezoekt. Ontwikkelaars kunnen deze hook gebruiken om diverse functies aan te roepen. Het probleem is dat admin_init geen authenticatie vereist, wat betekent dat iedereen die de admin URL bezoekt een code kan laten draaien. De admin hook van de plugin roept een actie genaamd wplc_head_basic aan, die de instellingen van de plugin updatet zonder de privileges van de betreffende gebruiker te controleren.
Een hacker zou deze plugin kunnen gebruiken om een JavaScript optie genaamd wplc_custom_js te updaten. Die bepaald de content die de plugin weergeeft wanneer het live chat support venster verschijnt. Zo kan er malafide JavaScript code op meerdere pagina’s worden geplaatst.
Niet de eerste keer
Dit is niet de eerste keer dat WP Live Chat Support met een kwetsbaarheid geconfronteerd wordt. Afgelopen jaar brachten de ontwikkelaars een patch uit voor CVE-2018-12426, een bug waarmee op afstand PHP scripts geüpload konden worden. In april ontdekte Alert Logic dat de plugin ondanks de patch nog steeds kwetsbaar was.
Updaten niet mogelijk?
WP Live Chat Support heeft de JavaScript insertie bug verholpen met versie 8.0.27, en de bestand upload bug in 8.0.29 (uitgerold op 15 mei 2019). Sucuri adviseert gebruikers van de plugin direct te updaten:
“Ongeautoriseerde aanvallen zijn zeer ernstig omdat ze geautomatiseerd kunnen worden, wat het makkelijk maakt voor hackers om succesvolle, wijdverspreide aanvallen op kwetsbare websites uit te voeren. Het aantal actieve installaties, het gemak van exploitatie en de effecten van een succesvolle aanval maken deze kwetsbaarheid bijzonder gevaarlijk.”
Een aantal gebruikers melden echter dat ze niet kunnen updaten. Op de WP Live Chat Support pagina op WordPress.org staat de melding “This plugin has been closed for new installations.”
De ontwikkelaars van de plugin waren niet bereikbaar voor commentaar, al drongen zij er afgelopen week wel via Twitter op aan om te updaten.
Lees ook: Live Chat support toevoegen aan je WordPress site: voordelen en nadelen