Eind juli ontdekte het Threat Intelligence team van Wordfence een kwetsbaarheid in de SEOPress plugin, welke op meer dan 100.000 websites gebruikt wordt. Inmiddels is er een update met patch uitgerold.
Over de kwetsbaarheid in de SEOPress plugin
SEOPress is een WordPress plugin met veel verschillende features die gericht zijn op zoekmachine optimalisatie. Zo heb je bijvoorbeeld de mogelijkheid om meta data, breadcrumbs en schema’s toe te voegen. Ook is het mogelijk om SEO titels en beschrijvingen aan berichten toe te voegen. Dit gebeurt via een nieuw REST-API endpoint. Helaas bleek dat REST-API endpoint niet op een veilige manier geïmplementeerd. Een zogeheten Cross-Site Scripting (XSS) kwetsbaarheid maakte het mogelijk voor aanvallers om arbitraire scriptjes te injecteren, die werden uitgevoerd elke keer dat een gebruiker de “Alle berichten” pagina bezocht. Dergelijke XSS kwetsbaarheden stellen kwaadwillenden in staat om bezoekers naar malafide websites door te sturen en nieuwe admin accounts aan te maken, wat er uiteindelijk toe kan leiden dat de aanvaller de site overneemt.
Update met patch
Nadat Wordfence de ontwikkelaar van de plugin op de hoogte had gebracht van de kwetsbaarheid, ging die aan de slag om het probleem te verhelpen. Inmiddels is er een update uitgerold: versie 5.0.4. Als je gebruik maakt van de SEOPress plugin en nog niet hebt geüpdatet naar de meest recente versie, raden we aan dit zo snel mogelijk te doen (lees ook: Veilig WordPress plugins updaten doe je zo!).
Wordfence Premium gebruikers ontvingen overigens al op 29 juli een firewall regel om hun sites te beschermen tegen misbruik via deze kwetsbaarheid. Sites die de gratis versie van Wordfence gebruiken krijgen op 28 augustus dezelfde bescherming.
Meer weten?
Voor meer informatie over de Cross-Site Scripting kwetsbaarheid in de SEOPress plugin verwijzen we je naar het nieuwsbericht op het Wordfence blog.