Af Eskil Sørensen, 22/10/20
WordPress' sikkerhedsteam har taget et sjældent brugt skridt og med magt tvunget en sikkerhedsopdatering til et populært plugin igennem. Det skriver ZDNet.
Det drejer sig om Loginizer-pluginet, der i denne uge blev tvangsopdateret til Loginizer version 1.6.4. Denne version indeholder en sikkerhedsrettelse til en farlig SQL-injektionsfejl, der kan gøre det muligt for angribere at overtage WordPress-websteder, der kører ældre versioner af Loginizer-pluginet. Loginizer er et af de mest populære WordPress-plugins, der er installeret på over en million sider.
Pluginet giver sikkerhedsforbedringer til WordPress-login-siden. Ifølge den officielle beskrivelse kan Loginizer blackliste eller whiteliste en IP-adresses adgang til WordPress-login-siden, kan tilføje support til tofaktorautentificering eller tilføje enkle CAPTCHA'er for at blokere automatiserede loginforsøg blandt mange andre funktioner.
SQL injection opdaget i Loginizer
I denne uge afslørede sikkerhedsforsker Slavco Mihajloski imidlertid en alvorlig sårbarhed i Loginizer-pluginet. Ifølge ZDNets kilde ligger sikkerhedsfejlen i Loginizers brute-force-beskyttelsesmekanisme, der er aktiveret som standard for alle websteder, hvor Loginizer er installeret. For at udnytte denne fejl kan en angriber prøve at logge ind på et WordPress-websted ved hjælp af et falsk WordPress-brugernavn, hvor de kan inkludere SQL-sætninger. Når godkendelsen mislykkes, registrerer Loginizer-pluginet dette mislykkede forsøg i WordPress-websides database sammen med det mislykkede brugernavn.
Men som Slavco og WPScan, som er en database for sårbarheder i Wordpress, plugins og themes, forklarer, desinficerer pluginet ikke brugernavnet og SQL-sætningerne efterlades intakte, så fjernangribere kan køre kode mod WordPress-databasen. Det er, hvad sikkerhedsforskere kalder et uautentificeret SQL-injection angreb, og som - ifølge WPScan - enhver med nogle grundlæggende kommandolinjefærdigheder kan gennemføre og dermed kompromittere et WordPress-websted fuldstændigt.
Links:
https://www.zdnet.com/article/wordpress-deploys-forced-security-update-f...