image

WordPress dicht lek dat aanvaller bestanden liet verwijderen

vrijdag 6 juli 2018, 10:56 door Redactie, 2 reacties

WordPress heeft een belangrijke beveiligingsupdate uitgebracht die een kwetsbaarheid verhelpt waardoor kwaadwillende gebruikers bestanden buiten de upload-directory konden verwijderen en wanneer er aan bepaalde voorwaarden werd voldaan ook de website konden overnemen.

Om de aanval uit te voeren moest een aanvaller wel de mogelijkheid hebben om mediabestanden te kunnen wijzigen en verwijderen. WordPress biedt de mogelijkheid om gebruikers verschillende rollen toe te kennen. De rol van "Auteur" was al voldoende om de kwetsbaarheid te misbruiken. De kwetsbaarheid werd meer dan 7 maanden geleden aan WordPress gerapporteerd en eind juni door een securitybedrijf openbaar gemaakt, aangezien er nog steeds geen update beschikbaar was.

Naast de kwetsbaarheid zijn in WordPress 4.9.7 ook zeventien niet security-gerelateerde bugs verholpen. Beheerders van WordPress-sites krijgen het advies om direct hun websites te updaten. Dit kan via WordPress.org en de automatische updatefunctie van het contentmanagementsysteem. WordPress draait op 30 procent van alle websites.

Reacties (2)
06-07-2018, 11:17 door Anoniem
Wordpress, the DVWA with blog functionality.
09-07-2018, 15:30 door Anoniem
Het blijven prutsers daar. Laatst hadden ze een melding dat een php versie niet veilig zou zijn. Lijkt me dat ze eerst maar eens op hun eigen programmeurs/code moeten gaan letten, voordat ze zich gaan bemoeien met andere zaken als systeembeheer. Iets van schoenmaker blijf bij je leest.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.