CVE-2019-25763: Kritisk fejl i Beaver Builder-plugin

CVE-2019-25763 er en kritisk sikkerhedsfejl i WordPress-pluginnet Ultimate Addons for Beaver Builder (version 1.2.4.1 og tidligere). Pluginnet har en funktion til social login (f.eks. Google-login), og fejlen ligger i, at denne funktion ikke tjekker ordentligt, om den person, der forsøger at logge ind, faktisk er den, de udgiver sig for at være.

En angriber kan sende en særligt udformet anmodning til din hjemmeside med en administrators e-mailadresse og en gyldig nonce (en engangskode, der normalt bruges til sikkerhed). Systemet accepterer dette som et gyldigt login og udsteder en session-cookie, der giver fuld adgang som administrator — helt uden kodeord.

Sårbarheden rammer alle, der driver et WordPress-website med pluginnet Ultimate Addons for Beaver Builder version 1.2.4.1 eller ældre installeret og aktiveret. Det gælder typisk:

• Virksomheder med WordPress-baserede hjemmesider eller webshops
• Bureauer og freelancere, der bygger WordPress-sites til kunder
• Organisationer, der bruger Beaver Builder som side-bygger til WordPress

Angriberen behøver kun kende én administrators e-mailadresse — noget der ofte er offentligt tilgængeligt på virksomhedens hjemmeside eller via WordPress’ standardopsætning.

Hvis en angriber udnytter denne sårbarhed, får de fuld administratoradgang til dit WordPress-site. Det betyder, at de kan:

• Overtage hjemmesiden — ændre indhold, slette sider eller indsætte falske sider
• Installere malware — placere skadelig kode, der inficerer dine besøgendes computere
• Stjæle data — hente oplysninger om kunder, ordrer og brugere fra databasen
• Oprette bagdøre — lægge skjulte adgange ind, så de kan vende tilbage selv efter du har opdaget angrebet
• Sende spam eller phishing — bruge dit domæne til at sende svindelmails, der skader dit omdømme

Med CVSS-score 9.8 (Kritisk) og fuld kontrol over Fortrolighed, Integritet og Tilgængelighed er konsekvenserne potentielt meget alvorlige for din virksomhed.

Denne sårbarhed scorer 9.8 ud af 10 (Kritisk) på den internationale CVSS-skala. Det er næsten det højest mulige. Tre faktorer gør den særligt farlig:

• Ingen kodeord kræves — angriberen behøver ikke gætte eller knække noget kodeord
• Ingen brugerinteraktion — du og dine medarbejdere behøver ikke klikke på noget for at angrebet lykkes
• Nem at udnytte — angrebet kan udføres med én simpel HTTP-forespørgsel, som selv en nybegynder kan sende med frit tilgængeligt værktøj

Angreb kan desuden automatiseres og køres mod tusindvis af WordPress-sites på én gang, hvilket øger risikoen for, at netop dit site bliver ramt.

Hvis du bruger Ultimate Addons for Beaver Builder på dit WordPress-site, skal du handle nu. Her er hvad du gør i prioriteret rækkefølge:

1. Tjek om du er sårbar: Log ind på dit WordPress-dashboard og gå til Plugins → Installerede plugins. Kig efter “Ultimate Addons for Beaver Builder” og noter versionsnummeret.
2. Opdatér pluginnet straks: Hvis du kører version 1.2.4.1 eller ældre, skal du opdatere til den nyeste tilgængelige version med det samme. Klik på “Opdatér” i plugin-oversigten.
3. Tjek for uautoriserede administratorer: Gå til Brugere → Alle brugere og filtrer på “Administrator”. Kender du alle, der er opført? Slet eventuelle ukendte konti.
4. Gennemgå logs for mistænkelig aktivitet: Bed din webhost eller IT-support om at tjekke server-logs for usædvanlige POST-forespørgsler til admin-ajax.php i den seneste periode.
5. Skift adgangskoder: Bed alle administratorer om at skifte deres WordPress-kodeord som en ekstra sikkerhedsforanstaltning.
6. Overvej en sikkerhedsscanning: Brug et WordPress-sikkerhedsplugin (f.eks. Wordfence) til at scanne for malware og bagdøre, som en eventuel angriber kan have lagt ind.