WordPress lost in stilte gevaarlijke kwetsbaarheid voor code-injectie op

Ontwikkelaars van het veelgebruikte WordPress-contentbeheersysteem hebben vorige week een update uitgebracht, maar opzettelijk vertraagd met de aankondiging dat de patch een ernstig beveiligingslek heeft verholpen.

WordPress-versie 4.7.2 werd op 26 januari uitgebracht als een beveiligingsupdate, maar in de bijbehorende release-opmerkingen werden alleen oplossingen genoemd voor drie gematigde risicokwetsbaarheden, waarvan er één zelfs geen invloed had op de kerncode van het platform.

Woensdag, een week later, onthulde het WordPress-beveiligingsteam dat een vierde kwetsbaarheid, veel ernstiger dan de andere, ook werd gepatcht in versie 4.7.2.

De kwetsbaarheid werd ontdekt door onderzoekers van webbeveiligingsbedrijf Sucuri en werd op 20 januari privé gerapporteerd aan het WordPress-team. Het bevindt zich in de REST API van het platform (programmeerinterface voor applicaties) en stelt niet-geverifieerde aanvallers in staat om de inhoud van een bericht of pagina binnen een WordPress-site.

"Wij geloven dat transparantie in het belang van het publiek is", zei WordPress-kernontwikkelaar Aaron Campbell woensdag in een blogpost. "Wij zijn van mening dat beveiligingskwesties altijd bekend moeten worden gemaakt. In dit geval hebben we de bekendmaking van dit probleem opzettelijk met een week uitgesteld om de veiligheid van miljoenen extra WordPress-sites te garanderen."

Volgens Campbell hebben de WordPress-ontwikkelaars, nadat ze de fout hebben ontdekt, contact gezocht met beveiligingsbedrijven die populaire webapplicatie-firewalls (WAF's) onderhouden, zodat ze beschermingsregels tegen mogelijke exploits kunnen inzetten. Ze namen vervolgens contact op met grote WordPress-hostingbedrijven en adviseerden hen over hoe ze beveiligingen voor hun klanten konden implementeren voordat een officiële patch werd uitgebracht.

Het beveiligingslek treft alleen WordPress 4.7 en 4.7.1, waar de REST API standaard is ingeschakeld. Oudere versies worden niet beïnvloed, zelfs als ze de REST API-plug-in hebben.

"We willen ook de WAF's en hosts bedanken die nauw met ons hebben samengewerkt om extra bescherming toe te voegen en hun systemen te controleren op pogingen om deze exploit in het wild te gebruiken," zei Campbell. 'Voor zover wij weten, zijn er tot dusver geen pogingen ondernomen om deze kwetsbaarheid in het wild te misbruiken.'

Hoewel dat goed nieuws is, betekent dit niet dat aanvallers dit beveiligingslek niet zullen gaan misbruiken nu de informatie niet beschikbaar is. WordPress is het populairste platform voor het bouwen van websites, waardoor het een zeer aantrekkelijk doelwit is voor hackers.

Webmasters moeten ervoor zorgen dat ze hun WordPress-sites zo snel mogelijk updaten naar versie 4.7.2 als ze dit nog niet hebben gedaan.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.