Duizenden WordPress-sites zijn kwetsbaar door twee kritieke beveiligingslekken in de plug-in Quiz And Survey Master. Via de kwetsbaarheden kan een aanvaller willekeurige PHP-code op de server uitvoeren. In het ergste geval zou een aanvaller zo toegang tot alle websites kunnen krijgen die op de server worden gehost.
Quiz And Survey Master biedt gebruikers de mogelijkheid om quizzen en onderzoeken aan hun WordPress-site toe te voegen. Het is op meer dan 30.000 websites actief. De plug-in biedt ook de mogelijkheid om bestanden te uploaden. De uploadfunctie bleek bij de controle van het geüploade bestand alleen naar het "Content-Type" veld te kijken. Dit veld is eenvoudig te spoofen, waardoor een aanvaller ook PHP-bestande had kunnen uploaden.
De enige vereiste was om in het "Content-Type" veld van het PHP-bestand aan te geven dat het om een toegestaan bestandsformaat ging. Door het uploaden van een kwaadaardig PHP-bestand had een aanvaller de website kunnen overnemen. Op een schaal van 1 tot en met 10 wat betreft de impact werd de kwetsbaarheid met een 10 beoordeeld.
Het tweede beveiligingslek kreeg een score van 9,9 toegekend. Via deze kwetsbaarheid had een aanvaller allerlei bestanden kunnen verwijderen, waaronder het wp-config.php-bestand. Hierdoor zou de website geen verbinding meer met de database hebben. Een aanvaller had vervolgens de installatieprocedure kunnen afronden en de site met zijn eigen database verbinding laten maken. Zo zou de aanvaller de website voor allerlei aanvallen kunnen gebruiken of andere sites die via hetzelfde account werden gehost kunnen compromitteren, aldus securitybedrijf Wordfence dat de problemen ontdekte.
Wordfence waarschuwde de ontwikkelaars die op 5 augustus met een update (versie 7.0.1) kwamen. Details van beide kwetsbaarheden zijn nu openbaar gemaakt. Van de 30.000 websites die de plug-in geïnstalleerd hebben draait 43 procent versie 6.x, die kwetsbaar is. Van 17 procent is de gebruikte versie onbekend, aldus cijfers van WordPress zelf. Het is niet de eerste keer dat de uploadfunctie van een WordPressplug-in voor problemen zorgt. Eind juli werd een dergelijke kwetsbaarheid in de plug-in wpDiscuz ontdekt.
Bron: Security.nl