Freemius, een analytics- en marketingbibliotheek voor ontwikkelaars van WordPress plugins en thema’s, heeft afgelopen week een kwetsbaarheid gepatched. De bibliotheek wordt aangeboden voor veel populaire plugins, zoals NextGEN Gallery (1,000,000+ installaties), 404 – 301 (100,000+ installaties), WP Security Audit Log (80,000+ installaties) en FooGallery (100,000+ installaties). Freemius CEO Vova Feldman zei dat hij het zou classificeren als “een ernstige kwetsbaarheid.”
Ernstige kwetsbaarheid
Feldman was in de eerste instantie van plan om niets over de kwetsbaarheid te publiceren totdat meer plugin auteurs geüpdatet hadden, maar het security team van PluginVulnerabilities.com had al binnen 24 uur een gedetailleerde uitleg over de kwetsbaarheid gepubliceerd:
“De kwetsbaarheid, een authenticated option updatekwetsbaarheid, zou iedereen met toegang tot een WordPress account de mogelijkheid geven om de volledige controle over de website te verkrijgen. Dat is het soort kwetsbaarheid dat hackers zullen proberen uit te buiten als er sprake is van significant gebruik van een plugin. Iedereen die onbetrouwbare individuen toegang verschaft tot WordPress accounts en gebruik maakt van een plugin met deze bibliotheek, loopt een aanzienlijk risico als ze de plugin niet hebben geüpdatet naar een versie die dit verhelpt, of de plugin hebben gedeactiveerd.”
Freemius gebruikers
Plugin ontwikkelaars die gebruik maken van de bibliotheek zijn reeds door Freemius op de hoogte gebracht en zullen spoedig gecontacteerd worden door het WordPress.org plugin team. Er is nog geen volledige lijst beschikbaar van de plugins die door deze kwetsbaarheid beïnvloed worden. Freemius heeft echter wel een webpagina die laat zien dat de bibliotheek door 96 WordPress.org plugins en 9 thema’s wordt gebruikt.
“Meer dan 60% van de ontwikkelaars die van onze SDK gebruik maken hebben reeds geüpdatet naar de gerepareerde versie,” schreef Feldman. Tot op heden heeft hij nog geen meldingen ontvangen over misbruik van de kwetsbaarheid. Hij heeft een samenvatting gepubliceerd van de acties die het bedrijf neemt om het probleem te verhelpen en beschreef wat Freemius doet om te proberen gebruikers meer tijd te geven om te updaten.
Verzoek aan ontwikkelaars
Het bedrijf vroeg twee dingen van ontwikkelaars die van de wordpress-sdk bibliotheek gebruik maken:
- Indien deze security upgrade aan je changelog wordt toegevoegd, gebruik dan alleen generieke bewoording zoals “security fix”.
- Zelfs na het uitbrengen van gerepareerde versies willen we je vragen om dit probleem de komende dagen niet openbaar te maken, zodat al onze partners en hun gebruikers tijd hebben om te updaten.
Het is in het belang van het bedrijf om de details van een veiligheidsprobleem zo lang mogelijk geheim te houden, maar dat kan er ook toe leiden dat sommige gebruikers aan risico’s worden blootgesteld, zeker wanneer het nieuws over de kwetsbaarheid zich al verspreid heeft. Elke gebruiker die een update tegenkomt voor een plugin die van Freemius gebruik maakt, wordt geadviseerd om onmiddellijk te updaten, ongeacht wat er voor generieke notities in de changelog staan.
Deze situatie is vergelijkbaar met de XSS kwetsbaarheid die Bootstrap twee weken geleden gerepareerd heeft.
