Zestigduizend WordPress-sites kwetsbaar door kritiek lek in Everest Forms

[Captain Kirk]

Zo'n zestigduizend WordPress bevatten een kritieke kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand code kan uitvoeren en de website volledig overnemen. De websites maken gebruik van een plug-in genaamd Everest Forms, waarmee gebruikers hun eigen contactformulieren, nieuwsbrieven, quizzen en betaalformulieren kunnen vormgeven. Meer dan honderdduizend WordPress-sites maken actief gebruik van de plug-in.

Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand willekeurige bestanden te uploaden wat tot remote code execution kan leiden. Ook kan een ongeauthenticeerde aanvaller willekeurige bestanden lezen en verwijderen, waaronder het wp-config.php bestand. Daardoor is het mogelijk de website over te nemen, aldus securitybedrijf Wordfence.

Het probleem wordt veroorzaakt doordat de uploadfunctie aangeboden bestanden niet goed gecontroleerd. Elk .csv- of .txt-bestand met een malafide PHP-script kan worden hernoemd naar een .php-bestand. Vervolgens verplaatst de functie het bestand naar de WordPress-uploadmap, die publiek toegankelijk is, aldus de uitleg van Wordfence. Zodoende kan de aanvaller malafide PHP-code uploaden, die aanroepen en zo code op de server uitvoeren.

Wordfence waarschuwde de ontwikkelaars op 9 februari, die op 20 februari met versie 3.0.9.5 kwamen waarin het probleem is verholpen. Sindsdien is de laatste versie zo'n veertigduizend keer gedownload, aldus cijfers van WordPress.org, wat inhoudt dat zo'n zestigduizend WordPress-sites risico lopen. De impact van de kwetsbaarheid (CVE-2025-1128) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

 

bron: https://www.security.nl