Newsletter, een gratis WordPress plugin met meer dan 300.000 installaties, bleek een paar kwetsbaarheden te bevatten die uiteindelijk kunnen leiden tot overname van de website. De bugs werden ontdekt door het team van Wordfence, dat de ontwikkelaar van de plugin op de hoogte stelde.
Over de Newsletter plugin
De Newsletter plugin faciliteert een visuele editor die je kunt gebruiken om vanaf je WordPress dashboard nieuwsbrieven en email campagnes te creëren. Er is een breed scala aan kant-en-klare templates beschikbaar, maar de drag and drop functie maakt het ook voor beginners heel eenvoudig om zelf mooie layouts te bouwen. Daarbij bevat de plugin allerlei features om je nieuwsbrieven te tracken en statistieken te bekijken.
Kwetsbaarheden
Wordfence ontdekte twee kwetsbaarheden. De eerste is een cross-site scripting (XSS) kwetsbaarheid die het mogelijk maakt voor aanvallers om malafide code te injecteren, zodat er zogeheten backdoors kunnen worden gecreëerd. Ook kunnen kwaadwillenden een admin account voor zichzelf aanmaken. Het tweede probleem betreft een PHP object-injection kwetsbaarheid. Deze kan gebruikt worden om onder andere arbitraire code te executeren en bestanden te uploaden. Ook deze kwetsbaarheid zou kunnen leiden tot volledige website overname.
Update met patches
De ontwikkelaars van de Newsletter plugin hebben direct actie ondernomen nadat ze van de kwetsbaarheden op de hoogte waren gesteld. Inmiddels is er een update met patches uitgebracht. Gebruikers worden dan ook geadviseerd om zo snel mogelijk te updaten naar de meest recente versie van Newsletter. Op dit moment is dat versie 6.8.2. Gebruikers van Wordfence premium zijn overigens beschermd dankzij een nieuwe firewall regel. Deze wordt op 15 augustus ook beschikbaar gesteld voor degenen die gebruik maken van de gratis versie van de Wordfence plugin. Desondanks is het altijd aan te raden om je WordPress plugins up-to-date te houden.
Meer weten?
Wil je meer weten over de kwetsbaarheden in de Newsletter plugin, dan kun je deze blogpost van Wordfence lezen.