Er is een ernstige kwetsbaarheid ontdekt in oudere versies van de populaire Code Snippets plugin. Deze kwetsbaarheid maakt het mogelijk voor kwaadwillenden om een website op afstand over te nemen. De ontwikkelaars van de plugin hebben inmiddels een update uitgerold met een patch. Gebruikers worden geadviseerd om onmiddellijk te updaten naar Code Snippets versie 2.14.0.
Code Snippets plugin
Code Snippets is een plugin die het mogelijk maakt om met kleine stukjes PHP code extra features aan je WordPress website toe te voegen, zonder dat je voor elke feature een aparte plugin nodig hebt. Veel van die ‘snippets’ zijn al geschreven. Code Snippets is een handige tool voor WordPress gebruikers die geen of te weinig programmeerkennis hebben. De plugin heeft meer dan 200.000 actieve installaties.
Kwetsbaarheid
Volgens Wordfence, dat de kwetsbaarheid ontdekte, was er onvoldoende controle in de Code Snippet import tool om de bron en veiligheid van de snippets te kunnen garanderen. Hierdoor konden gebruikers zonder het te weten malafide code importeren, met alle gevolgen van dien. WordPress sites die de Code Snippets plugin draaien lopen risico het slachtoffer te worden van een zogeheten cross-site request forgery (CSRF), een aanval waarbij een admin gebruiker misleid wordt om op een malafide link te klikken. Daardoor worden ongewenste acties getriggerd. Een hacker zou dan zelfs in staat zijn om een nieuwe admin account aan te maken en de website in kwestie volledig over te nemen.
In de onderstaande video is te zien hoe dat in zijn werk gaat.
Het is een ernstige kwetsbaarheid, maar gelukkig eenvoudig te fixen.
Update
Maak jij gebruik van de Code Snippets plugin? Ga dan naar Plugins > Update op je WordPress Dashboard om de nieuwste versie (2.14.0) van de plugin te installeren. Je kunt ook de nieuwste versie downloaden en installeren vanaf de WordPress.org plugin pagina.
Lees ook: Veilig WordPress plugins updaten doe je zo!