Lek in WordPressplug-in LatePoint laat aanvaller adminwachtwoord wijzigen

[Captain Kirk]

Een kwetsbaarheid in de WordPressplug-in LatePoint, die op duizenden websites actief is, laat aanvallers door middel van SQL Injection het adminwachtwoord wijzigen, om zo de website volledig over te nemen. Via LatePoint kunnen WordPress-sites online reserveringen en afspraken van gebruikers beheren. De plug-in zou op meer dan zevenduizend websites geïnstalleerd zijn, meldt securitybedrijf Wordfence.

Onderzoekers vonden twee kritieke kwetsbaarheden in de plug-in. Het eerste probleem wordt veroorzaakt door het onvoldoende escapen van gebruikersinvoer, waardoor SQL Injection mogelijk is. Dit zorgt ervoor dat een ongeauthenticeerde aanvaller van elk account, waaronder de beheerder, het wachtwoord kan wijzigen. Voorwaarde voor misbruik is wel dat de optie 'Use WordPress users as customers' actief is, die standaard niet ingeschakeld staat.

Het tweede probleem zorgt ervoor dat een gebruiker als elke gebruiker kan inloggen, waaronder de beheerder, als het 'user id' bekend is. Wederom moet de optie 'Use WordPress users as customers' zijn ingeschakeld. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaars van LatePoint kwamen op 24 september met een volledige update. Daarop heeft Wordfence nu de details openbaar gemaakt. Het gaat hier om een commerciële plug-in, waardoor er geen cijfers zichtbaar zijn van hoeveel sites niet up-to-date zijn, zoals met plug-ins op WordPress.org wel het geval is.

 

bron: https://www.security.nl