Deelnemers van het Wordfence Bug Bounty Program hebben recentelijk twee kwetsbaarheden aangetroffen in de populaire POST SMTP plugin, die meer dan 300.000 actieve installaties heeft. De plugin maakt het mogelijk om een SMTP-mailer in te stellen die de standaard mailfunctie van WordPress vervangt. Er is inmiddels een update beschikbaar met een patch voor beide kwetsbaarheden.
Kwetsbaarheden in POST SMTP plugin
De eerste kwetsbaarheid in de POST SMTP plugin is een zogeheten Authorization Bypass kwetsbaarheid. Deze maakt het mogelijk voor ongeautoriseerde personen om de API-sleutel, die gebruikt wordt om de mailer en view logs te verifiëren, te resetten. Hierdoor kunnen ook wachtwoord-herstel mails naar de verkeerde personen worden verstuurd, waardoor de betreffende WordPress site in theorie overgenomen kan worden. De tweede kwetsbaarheid betreft een Stored Cross-Site Scripting kwetsbaarheid. Deze maakt het mogelijk voor kwaadwillenden om scripts in pagina’s te injecteren.
Lees ook: Dit moet je weten over Cross-Site Scripting aanvallen in WordPress
POST SMTP 2.8.8
Wordfence heeft de ontwikkelaar van de plugin via responsible disclosure van de kwetsbaarheden op de hoogte gebracht. Die heeft vervolgens op 1 januari een update met patch beschikbaar gesteld: versie 2.8.8. Uit data van WordPress.org blijkt echter dat momenteel slechts de helft van alle gebruikers de update geïnstalleerd heeft, wat betekent dat er nog ongeveer 150.000 WordPress sites zijn die het risico lopen om overgenomen te worden.
Update installeren
Maak jij gebruik van de POST SMTP plugin? Dan raden we je aan om meteen te controleren of je versie 2.8.8 al geïnstalleerd hebt. Is dat niet het geval, dan krijg je het dringend advies om de plugin onmiddellijk naar de meest recente versie te updaten. Gebruikers van Wordfence Premium, Wordfence Care en Wordfence zijn overigens al beschermd vanwege de firewall regel die Wordfence heeft uitgerold – deze firewall regel zal vanaf 2 februari 2024 ook beschikbaar zijn voor degenen die de gratis versie van de Wordfence plugin gebruiken. Voor meer informatie over deze kwetsbaarheid in POST SMTP verwijzen we je naar het Wordfence blog.