Kritiek lek in plug-in WP Maps Pro raakt vijftienduizend WordPress-sites

In dit artikel:

Een kritieke kwetsbaarheid in de commerciële WordPress-plug-in WP Maps Pro stelt ongeauthenticeerde aanvallers in staat admin-rechten te verkrijgen en treft naar schatting meer dan 15.000 sites. WP Maps Pro (bijna 16.000 keer verkocht) maakt het mogelijk Google Maps- en OpenStreetMap-kaarten met locaties, routes en vestigingen op sites te tonen. De fout zat in een “temporary access”-functie waarmee ontwikkelaars tijdelijk in konden loggen om problemen op klantsites op te lossen; die functie zou beschermd zijn door een nonce, maar een onderzoeker meldde aan Wordfence dat die nonce door niet-ingelogde gebruikers te achterhalen is, waarna de functie misbruikt kan worden.

Met beheerdersrechten kunnen aanvallers kwaadaardige plug-ins installeren, backdoors of webshells plaatsen en data exfiltreren. Op 20 mei verscheen versie 6.1.1 met een fix voor de toegangspermissie; kort daarna werd versie 6.1.2 uitgebracht waarin de tijdelijke toegang uit veiligheidsoverwegingen volledig is verwijderd. Omdat het een commerciële plug-in is (niet via WordPress.org), ontbreekt zicht op hoeveel sites de nieuwe versie al draaien. Site-eigenaren met WP Maps Pro wordt aangeraden direct te updaten naar 6.1.2, logbestanden en gebruikersaccounts te controleren en de site te scannen op compromitterende wijzigingen.