Security bedrijf Wordfence adviseert gebruikers van de miniOrange Malware Scanner en Web Application Firewall plugin om deze zo snel mogelijk te verwijderen. Deze security plugins bevatten niet alleen ernstige kwetsbaarheden, het zijn nu ook end-of-life plugins. Dat wil zeggen dat ze niet meer geüpdatet zullen worden.
MiniOrange Malware Scanner en Web Application Firewall plugin
De miniOrange Malware Scanner plugin (10.000+ actieve installaties) en Web Application Firewall (300+ actieve installaties) plugin bevatten beide dezelfde kwetsbaarheid. Het betreft een ontbrekende capability check in de functie mo_wpns_init(), die niet-geauthenticeerde aanvallers in staat stelt om het wachtwoord van elke gebruiker te veranderen en die gebruiker de privileges van een admin te geven.
“Zodra de aanvaller administratieve toegang tot een WordPress site heeft verkregen, kan hij op de betreffende site alles doen wat een normale administrator ook kan,” schreef Wordfence. Zo kan de aanvaller bijvoorbeeld plugin en thema bestanden uploaden die backdoors bevatten, en berichten en pagina’s aanpassen om website bezoekers naar malafide sites door te verwijzen.
Er worden wel vaker vergelijkbare kwetsbaarheden in WordPress plugins aangetroffen. Meestal wordt er binnen korte tijd een update met patch beschikbaar gesteld door de ontwikkelaar, welke het probleem verhelpt. Dat is nu echter niet het geval.
“Onmiddellijk end-of life plugins verwijderen”
Het probleem werd op 5 maart 2024 aan de ontwikkelaar van de plugin gerapporteerd. Maar in plaats van een plugin update met patch uit te brengen, besloot de ontwikkelaar per direct met de plugins te stoppen. Beide plugins worden niet langer ondersteund, wat betekent dat er ook geen update meer uitkomt waarmee de kwetsbaarheid verholpen wordt. Om die reden geeft Wordfence gebruikers het dringende advies om onmiddellijk de end-of-life plugins te verwijderen.
Lees ook: Veilig WordPress plugins updaten doe je zo!
