image

Lek in WordPressplug-in Cost Estimation actief aangevallen

donderdag 14 februari 2019, 17:27 door Redactie, 8 reacties

Opnieuw zijn websites met een commerciële WordPressplug-in het doelwit van aanvallers geworden. Afgelopen dinsdag werd gewaarschuwd voor aanvallen op de plug-in Simple Social Buttons. Nu blijkt dat ook WordPress-sites met de plug-in Cost Estimation & Payment Forms Builder het doelwit van aanvallen zijn. Via de plug-in kunnen websites allerlei berekeningsformulieren toevoegen.

Een aantal maanden geleden werden verschillende kwetsbaarheden in de plug-in door de ontwikkelaar gepatcht. Destijds werd er echter geen melding van deze beveiligingslekken gemaakt. Eind januari ontdekten onderzoekers van securitybedrijf Wordfence dat aanvallers deze kwetsbaarheden gebruikten om WordPress-sites over te nemen. Tijdens het onderzoek naar de aanvallen ontdekten de onderzoekers ook een nieuw beveiligingslek in de plug-in.

De ontwikkelaar werd op 26 januari door de onderzoekers geïnformeerd en bracht op 31 januari een update uit. Beheerders van WordPress-sites die van Cost Estimation gebruikmaken krijgen het advies om naar de laatste versie te updaten. Volgens de website CodeCanyon, waarop de plug-in wordt aangeboden, is die bijna 12.000 keer verkocht.

Reacties (8)
14-02-2019, 17:37 door Anoniem
Al die brakke extensies geven WP een slecht imago.
14-02-2019, 19:41 door Anoniem
Een leuk lijstje met kwetsbare plug-ins uit verschillende bron hier:
https://firstsiteguide.com/tools/free-fsg/hacked-dangerous-vulnerable-wordpress-plugins/#bad_plugins

Voor wat tips, scan: https://webhint.io/scanner/ & https://webscan.upguard.com/

Specifiek voor a quick and dirty voor de Word Press CMS: https://hackertarget.com/wordpress-security-scan/

Gebruik retire.js als extensie: https://chrome.google.com/webstore/detail/retirejs/moibopkbhjceeedibkbkbchbjnkadmom

luntrus
14-02-2019, 22:15 door Anoniem
Juist en kijkend met de retire.js extensie in de Brave 1.0 browser vind ik dit nog aangegeven in de onderhavige site:
jquery 1.7.2 kwetsbaarheid. Gevonden binnen https://www.security.nl/js/jquery/jquery.securitynl.js?13757912339

Op DOM-XSS zwakheid bekeken levert deze bibliotheek 117 sources en 55 sinks op. (innerHTML voor xss-degradatie)
waarvan akte. Zoek maar op StakOverflow voor de implicaties van dergelijke zwakheden.

#sockpuppet

P.S. Waarom wordt er toch niet continue op security issues doorgezocht door web-admins,
website developers en hosters? Waarom G*ds water toch weer steeds over G*ds akker laten lopen?

Moeten we dan maar leren leven tussen die lekke website zooi?
Of komt het sommige partijen eigenlijk wel heel goed uit, dat er zo weinig mogelijk hanen naar kraaien?

Wie legt me dat eens uit? karma4, krakatau, iemand hier?
14-02-2019, 22:50 door Krakatau - Bijgewerkt: 14-02-2019, 22:51
Door Anoniem: Al die brakke extensies geven WP een slecht imago.

Het is WP dat het mechanisme voor extenties beschikbaar stelt. Zonder fatsoenlijke afscherming, waarbij een extensie in een sandbox omgeving zou draaien en brakheid niet uit zou maken. Voor zover dat met PHP mogelijk is...
15-02-2019, 11:41 door Anoniem
Van de jquery bibliotheek zou ik ook geen gebruik maken als niet noodzakelijk. Helaas is niet iedereen zo onderlegd en daarom zie je dus ook WorldPress enz als nummer 1 aangeprezen bij "internet providers" ondanks de alom bekende flaws.
16-02-2019, 10:51 door Krakatau
Door Anoniem: P.S. Waarom wordt er toch niet continue op security issues doorgezocht door web-admins,
website developers en hosters? Waarom G*ds water toch weer steeds over G*ds akker laten lopen?

Moeten we dan maar leren leven tussen die lekke website zooi?
Of komt het sommige partijen eigenlijk wel heel goed uit, dat er zo weinig mogelijk hanen naar kraaien?

Wie legt me dat eens uit? karma4, krakatau, iemand hier?

Principes zijn leuk maar het moet geen geld kosten?
16-02-2019, 11:48 door -karma4
Door Anoniem: Van de jquery bibliotheek zou ik ook geen gebruik maken als niet noodzakelijk.

Je gaat het wiel opnieuw uitvinden en je denkt dat je het beter kan dan de makers van die library? Dat je minder fouten maakt?

Door Anoniem: Helaas is niet iedereen zo onderlegd en daarom zie je dus ook WorldPress enz als nummer 1 aangeprezen bij "internet providers" ondanks de alom bekende flaws.

jquery is een algemene library en heeft dus niets met Wordpress te maken.
18-02-2019, 16:35 door Anoniem
Andersom hebben Word Press sites wel vaak last van deze af te voeren algemene jQuery libraries.
Is dus zaak ook met oog voor algemene veiligheid deze bibliotheken te vervangen door minder kwetsbare.
Niet rijp en groen door elkaar zoals bij veel website developers.
Er op scannen kan geen kwaad, net als je je DOM-XSS sinks en sources wilt kennen.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.