Badacze odkryli luki w hasłach omijające dwie wtyczki WordPressa. Wydawcą wtyczek jest firma Revmakx.

Pierwszą z nich jest InfiniteWP Client, narzędzie pozwalające administratorom na zarządzanie wieloma stronami WordPressa z jednego interfejsu.

Druga to WP Time Capsule, narzędzie do tworzenia kopii zapasowych i inscenizacji witryn.

Pilną kwestią jest liczba witryn korzystających z tych narzędzi – od 300 000 do 500 000 w przypadku InfiniteWP oraz 20 000 lub więcej w przypadku WP Time Capsule – więc jeśli masz którąś z tych wtyczek, załataj ją jak najszybciej.

Według firmy badającej bezpieczeństwo WebARX, która zgłosiła luki
7 stycznia 2020 r., oba błędy umożliwiają napastnikom logowanie się do kont admin bez hasła.

Luka „Bypass InfiniteWP” został znaleziony w funkcji iwp_mmb_set_request, służącej do sprawdzenia, czy użytkownik próbuje wykonać autoryzowaną akcję.

Dwie akcje, które to robią to readd_site i add_site, ale żadna z nich nie implementuje sprawdzania autoryzacji, co oznacza, że atakujący może wykonać złośliwe żądanie:

Wszystko, co musimy wiedzieć, to nazwa użytkownika administratora na stronie. Po wysłaniu żądania, zostaniesz automatycznie zalogowany jako użytkownik.

Jeszcze prostszy błąd logiczny w WP Time Capsule daje podobny rezultat – tym razem wystarczy wpisać ciąg tekstowy IWP_JSON_PREFIX we wniosku przesłanym do skryptu WordPress.