Op 22 april 2020 ontdekte het Threat Intelligence team van Wordfence een kwetsbaarheid in de Real-Time Find and Replace plugin. Dezelfde dag werd er nog een update met patch uitgerold.
Over de Real-Time Find and Replace plugin
Real-Time Find and Replace is een gratis plugin op WordPress.org. Deze plugin verstrekt functionaliteit om dynamisch elk stukje HTML content op je WordPress site te vervangen door nieuwe content, nog voordat de pagina in de browser van de bezoeker wordt geladen. Omdat het zoek-en-vervang proces real-time plaatsvindt, hoef je geen veranderingen aan te brengen aan plugins en thema’s. Dat betekent dat upgrades geen problemen opleveren. Door de specifieke en relatief beperkte functionaliteit is deze WordPress plugin heel makkelijk in gebruik. De plugin heeft meer dan 100.000 actieve installaties.
De kwetsbaarheid
De kwetsbaarheid die door Wordfence werd ontdekt is een zogeheten ‘Cross-Site Request Forgery to Stored Cross-Site Scripting’. Simpel gezegd stelt deze kwaadwillenden in staat om malafide JavaScripts op de website te injecteren – mits zij de admin van de betreffende website kunnen misleiden om een bepaalde actie uit te voeren, zoals klikken op een link in een email.
Wordfence nam dezelfde dag nog contact op met de ontwikkelaar van de plugin om deze van de kwetsbaarheid op de hoogte te stellen. Die kwam gelukkig direct in actie. Slechts enkele uren later werd er al een update voor de plugin uitgerold welke een patch bevat.
Updaten
Omdat het een ernstige kwetsbaarheid betreft, worden alle gebruikers van de Real-Time Find and Replace plugin geadviseerd om zo snel mogelijk te updaten naar de meest recente versie. Dat is op dit moment versie 4.0.2. Wordfence gebruikers zijn dankzij de ingebouwde XSS bescherming in de Wordfence firewall beschermd tegen misbruikpogingen van de kwetsbaarheid. Desondanks raden we iedereen aan om plugins altijd up-to-date te houden.
Lees ook: Veilig WordPress plugins updaten doe je zo!