WPBrigade, de ontwikkelaar achter de Simple Social Buttons plugin, heeft een kritische kwetsbaarheid gerepareerd.
Veiligheidsrisico
Het veiligheidsrisico werd ontdekt door het team bij WebARX. Ontwikkelaar en onderzoeker Luka Šikić vatte het probleem samen in een blogpost:
“Een ondeugdelijke applicatie design flow, in combinatie met een gebruik aan permissiecontrole, resulteerde in een privilege escalatie en ongeautoriseerde acties in de WordPress installatie. Hierdoor kunnen niet-admin gebruikers, zelfs gebruikers met een abonnee account, WordPress installatie opties vanuit de wp_options tabel aanpassen.”
Šikić plaatste ook een video online om te laten zien hoe gevaarlijk de kwetsbaarheid kan zijn:
Over Simple Social Buttons
Simple Social Buttons is een plugin die het gemakkelijk maakt voor gebruikers om social media knoppen toe te voegen aan blogposts, pagina’s, archieven, pop-ups, fly-ins en custom post types. Meer dan 40.000 gebruikers hebben de gratis versie van de plugin op hun website geactiveerd. Er is ook een premium versie beschikbaar via de WPBrigade website.
Patch
De dag nadat WebARX de kwetsbaarheid bekend maakte, kwamen de makers van de plugin met versie 2.0.22. Deze update bevat een patch die het probleem oplost. Het kan echter zijn dat sommige website-eigenaren en webmasters nog niet over de kwetsbaarheid hebben vernomen. Niet iedereen voert direct updates uit. WPBrigade heeft op het moment van schrijven gebruikers nog niet over de kwetsbaarheid geïnformeerd. Alleen in de changelog van de plugin staat: “Enhancement: Fix security issue.”
Zo snel mogelijk updaten
Het is echter van essentieel belang dat iedereen die gebruik maakt van de plugin, zo snel mogelijk de update uitvoert. De gevolgen van een eventuele aanval zouden zeer omvangrijk kunnen zijn. Een aantal websites hebben zichzelf al op een andere manier beveiligd tegen dit soort kwetsbaarheden, namelijk door de registratie van nieuwe gebruikers te beperken. WordPress websites die gebruikers zich laten registreren zijn echter zeer kwetsbaar.
Heb jij Simple Social Buttons ook actief op je website? Ga dan direct naar het WordPress Dashboard om te updaten.
Lees ook: Veilig WordPress plugins updaten doe je zo!
