Een beveiligingslek in WordPress maakt het mogelijk voor aanvallers om kwetsbare websites over te nemen en een update die het probleem verhelpt is nog niet beschikbaar. Via de kwetsbaarheid kan een WordPress-gebruiker met de rol van auteur of hoger willekeurige PHP-code op de onderliggende server uitvoeren en zo de website volledig overnemen.
De kwetsbaarheid werd door securitybedrijf RIPS Technologies ontdekt en op 16 oktober vorig jaar aan het WordPress-ontwikkelteam gemeld. Op dat moment bleek dat het beveiligingslek al 6 jaar in de code van WordPress aanwezig was. Afgelopen december kwam het WordPress-team met WordPress 5.0.1. Deze update verhelpt niet de kwetsbaarheid, maar zorgt ervoor dat de aanvalsvector niet meer werkt.
WordPress-sites lopen echter nog steeds risico. Doordat het onderliggende probleem niet is verholpen kan de aanvalsvector nog steeds aanwezig zijn als er kwetsbare plug-ins zijn geïnstalleerd. Via de plug-ins is het mogelijk om het beveiligingslek aan te vallen. WordPress heeft inmiddels een patch ontwikkeld die het probleem wel verhelpt, maar die patch is nog niet uitgerold. Het is ook nog onbekend wanneer deze update zal verschijnen. RIPS Technologies heeft nu besloten om de details toch openbaar te maken aangezien WordPress vier maanden de tijd heeft gehad om met een werkende update te komen.
Daarnaast heeft het bedrijf ook een soortgelijke kwetsbaarheid bij WordPress gemeld die nog niet is gepatcht, maar over dit lek zijn geen details gegeven. Zowel het eerste beveiligingslek, waarvoor een patch is ontwikkeld maar nog niet uitgerold, als de tweede kwetsbaarheid die nog niet is gepatcht, vereisen dat een aanvaller met de rechten van "auteur" content aan een WordPress-site kan toevoegen. WordPress-sites krijgen het advies om in ieder geval de meest recente versie te installeren en te kijken naar plug-ins waar aanvallers misbruik van zouden kunnen maken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Hij zegt echt een hele hoop, maar er zijn een tweetal punten die ik er uit wil halen: 1. Je telefoon staat pas echt uit als de ...
Als hostingbedrijf krijgen wij steeds vaker klachten dat een website van een klant ten onrechte persoonsgegevens publiceert of ...
Nederland is vandaag een nieuwe internetprovider rijker die zegt zich te zullen inzetten voor privacy, veiligheid en vrijheid. ...
CTF/Challenge Developer
Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?
Wanneer het over cyberaanvallen gaat worden vaak termen als geavanceerd of geraffineerd gebruikt, maar in de praktijk blijkt ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.