WordPress informeerde zijn gebruikers woensdag over een ernstig lek, dat het een week geleden samen met drie andere kwetsbaarheden heeft gedicht. De organisatie zegt gebruikers nu pas in te lichten, omdat de veiligheid van miljoenen websites op het spel stond.

In een blogpost schrijft Aaron Campbell van WordPress dat vorige week naast de patch voor drie bekende kwetsbaarheden de update ook een oplossing voor een vierde kwetsbaarheid bevatte. Deze was aanwezig in versies 4.7 en 4.7.1 en maakte het mogelijk om op afstand de inhoud van een WordPress-pagina of -post aan te passen of te verwijderen. Volgens de organisatie zijn er geen pogingen vastgesteld om het lek te misbruiken.

Campbell schrijft dat de melding over de kwetsbaarheid op 20 januari binnenkwam en dat er meer tijd nodig was om aan een oplossing te werken. In de loop van dat proces was er contact met verschillende bedrijven met een web application firewall, zoals Clouflare en Incapsulata. Deze actie moest ervoor zorgen dat minder gebruikers kwetsbaar waren. Vervolgens nam de organisatie contact op met andere WordPress-hosts. Door na het uitbrengen van de patch nog een week te wachten, wilde de organisatie gebruikers de tijd geven om naar versie 4.7.2 te updaten.

Een onderzoeker van het beveiligingsbedrijf Sucuri ontdekte het lek. De onderzoeker, Marc-Alexandre Montpas, schrijft dat het om een ernstig lek gaat dat op afstand privilege escalation mogelijk maakt, waardoor een gebruiker hogere rechten kan verkrijgen. Het lek heeft betrekking op een endpoint van de REST-api. Afhankelijk van de geïnstalleerde plug-ins zou het volgens de onderzoeker niet al te moeilijk zijn om bijvoorbeeld php-code uit te voeren.

Bron: Tweakers.net