De WordPress plugin WP Statistics heeft een security update uitgebracht. Deze update bevat een patch voor een cross-site scripting (XSS) kwetsbaarheid die bij specifieke configuraties kan leiden tot een volledige website-overname.
Over WP Statistics
WP Statistics is een gratis plugin van VeronaLabs, ontwikkeld om website statistieken te analyseren. Hierbij kun je denken aan het aantal bezoekers van de site, waar die bezoekers vandaan komen, welke pagina’s ze bezoeken en welke browsers ze gebruiken. De plugin heeft meer dan 500.000 actieve installaties en een gemiddelde beoordeling van 4.3 uit 5 sterren.
XSS kwetsbaarheid
Zoals gezegd gaat het om een XSS kwetsbaarheid. Deze stelt kwaadwillenden in staat om client-side scripts op admin pagina’s te injecteren. Dit zou in theorie kunnen leiden tot een volledige website overname. Het is echter wel het vermelden waard dat deze kwetsbaarheid alleen geëxploiteerd kan worden wanneer de getroffen website gebruik maakt van specifieke configuraties. Ten eerste is een website alleen kwetsbaar wanneer de plugin een header gebruikt om het IP-adres van de bezoeker te identificeren. Daarnaast moet de website ook een omzeilbare firewall hebben. De website moet dus geconfigureerd zijn om verbindingen van iedereen te accepteren, niet alleen de verbindingen die door een firewall geforward worden. Met andere woorden: Als je WP Statistics gebruik met de standaard instellingen, is er niets aan de hand. De kwetsbaarheid is ontdekt door onderzoekers van Sucuri.
WP Statistics 12.6.7
De ontwikkelaar van de plugin werd op 26 juni op de hoogte gebracht van de kwetsbaarheid. Gelukkig werd er meteen actie ondernomen. Op 1 juli kwam versie 12.6.7 uit, de update die een patch voor de kwetsbaarheid bevat.
Zowel de Sucuri onderzoekers als de ontwikkelaar raden gebruikers van de plugin aan om zo snel mogelijk te updaten naar de nieuwste versie. Dit kun je doen door op het WordPress Dashboard naar Plugins > All Plugins te gaan. Daar zoek je de WP Statistics plugin op, waarna je direct de update installeert.