image

Ernstig lek in WordPress-plug-ins met 1,5 miljoen installaties

donderdag 29 augustus 2019, 15:01 door Redactie, 14 reacties

In negen populaire WordPress-plug-ins zijn ernstige beveiligingslekken ontdekt waarmee het mogelijk is om de achterliggende website volledig over te nemen. De plug-ins hebben bij elkaar meer dan 1,5 miljoen actieve installaties en op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die allemaal met een 9 beoordeeld.

"Het interessante is dat acht van de negen beveiligingslekken via hetzelfde eenvoudige codepatroon zijn gevonden waardoor ze kwetsbaar voor SQL-injection waren. Ondanks de mogelijkheid tot misbruik kan het filteren van gebruikersinvoer veel ontwikkelaars gewoon niets schelen", stelt onderzoeker Tin Duong van securitybedrijf Fortinet, dat de kwetsbaarheden ontdekte.

Via SQL-injection kunnen aanvallers met de database achter een website communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en al dan niet versleutelde wachtwoorden, te stelen. SQL-injection is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren.

"SQL-injection is geen nieuwe techniek, maar het vormt altijd een serieuze beveiligingsdreiging voor webapplicaties en webservers. Om het te voorkomen zouden ontwikkelaars altijd programmeerstandaarden en best practices voor veilig programmeren moeten volgen", merkt Duong op. Fortinet waarschuwde de betreffende ontwikkelaars die de afgelopen weken met updates kwamen.

In de praktijk blijkt dat WordPress-gebruikers hun plug-ins niet altijd updaten en zo risico lopen om te worden aangevallen. De kwetsbaarheden zijn onder andere aanwezig in de plug-ins NextGEN Gallery, Photo Gallery en Popup Builder die respectievelijk meer dan 900.000, 300.000 en 100.000 actieve installaties hebben.

Reacties (14)
29-08-2019, 15:56 door Anoniem
Er gaat bijna geen dag voorbij zonder een Wordpress lek. Waarom gebruiken mensen dit nog?
29-08-2019, 16:31 door Anoniem
Door Anoniem: Er gaat bijna geen dag voorbij zonder een Wordpress lek. Waarom gebruiken mensen dit nog?
Wordpress Lek vs Wordpress Plugin Lek
29-08-2019, 16:51 door Anoniem
PHP met "pass $Query", daar gaan we weer.
Gevaarlijke functies.
Wat het gevaar is van onveilig programmeren,
ziet men hier maar weer.

WordPress en PHP, doe het veilig(er)
of brandt er je handen niet aan.

#sockpuppet
29-08-2019, 16:52 door Anoniem
De negen kwetsbaarheden worden met een 9 (uit 10) beoordeeld. Dat is best wel ernstig. Het verbaast me dan dat in dit artikel maar 3 van de 9 plugins genoemd worden. Ik zou verwachten dat een opsomming van de plugins heel vroeg in het artikel zou staan om mogelijke gebruikers ervan meteen op de hoogte te brengen of ze kwetsbaar zijn of niet. Nu moet men het gelinkte artikel openen en helemaal naar beneden scrollen. De vindbaarheid van een overzicht van betrokken plugins doet geen recht aan de gemelde ernst van de kwetsbaarheden.

Voor wie niet verder wil zoeken, het gaat om dit lijstje:

WordPress.AJDGSolutions.AdRotate.SQL.Injection
WordPress.Adenion.Blog2Social.SQL.Injection
WordPress.Icegram.EmailSubscribers.SQL.Injection
WordPress.WPEverest.EverestForms.SQL.Injection
WordPress.FolioVision.FlowplayerVideoPlayer.SQL.Injection
WordPress.Impress.Give.SQL.Injection
WordPress.Imagely.NextGENGallery.SQL.Injection
WordPress.10Web.PhotoGallery.SQL.Injection
WordPress.Sygnoos.PopupBuilder.SQL.Injection
29-08-2019, 17:02 door Anoniem
Door Anoniem: Er gaat bijna geen dag voorbij zonder een Wordpress lek. Waarom gebruiken mensen dit nog?
Het is officieel geen WordPress lek, maar een lek in een plug-in.
29-08-2019, 17:22 door Anoniem
Door Anoniem: Er gaat bijna geen dag voorbij zonder een Wordpress lek. Waarom gebruiken mensen dit nog?
Mensen, die kunnen lezen misschien?
29-08-2019, 20:56 door Anoniem
Bedankt security.nl!

Mijn huidige klant, grote WP site. Directie snapt weinig tegnies, wil vaag maar wel snel en wat kost het. WP prima. Zolang je maar weet wat je uit de plugin kast kan pakken en wat niet. En ook wanneer je helemaal geen plugin nodig hebt omdat het simpeler en strakker kan.

Ik kan wel met een andere aanpak komen. Maar dan snapt de klant niet waarom het allemaal zo lang moet duren. Want alles dat wetkt is toch gemakkelijk? Duurt het te lang, waarom moet je er dan zo lang mee bezig zijn?

Ik heb er een prima boterham aan, dat WP.
30-08-2019, 08:10 door Bitje-scheef
Als eens gedacht aan bugs die ontstaan na het updaten ? Programmeerwerk blijft een menselijk iets, dus zullen er altijd fouten en "slecht" programmeerwerk blijven. Security and GDPR by design is het devies.

Accept it, part of life die bugs en programmeerfouten.
30-08-2019, 08:46 door Anoniem
Daarom zou men de cold recon foutenjager ook moeten betalen.
Wie heeft er een bijbaantje voor me?
J.O.
30-08-2019, 09:20 door roevka
Door Anoniem: Er gaat bijna geen dag voorbij zonder een Wordpress lek. Waarom gebruiken mensen dit nog?
Het heeft ook niet mijn voorkeur. Maar heel veel bedrijven maken hun diensten compatibel met dit platform.
Zo kan je simpel een webshop maken en diensten als een payment provider en verzend plugin toevoegen omdat die bedrijven daar al vaak een plugin voor hebben ontwikkeld zodat je het wiel niet opnieuw hoeft uit te vinden.
Zo is er nog steeds geen fatsoenlijke webshop te maken in Joomla zonder kennis om allerlei API's aan te roepen als je gebruik wilt maken van Nederlandse payment providers en verzendingen.
30-08-2019, 14:44 door Anoniem
Er is niets mis met Wordpress, het is mis met de klanten die denken dat een website bouwen een apple en een ei kost en onderhoud willen ze al helemaal niet voor betalen. Dit komt doordat op internet te veel geroepen wordt dat iedereen dit wel effe kan doen voor weinig. Voor een goede website komt veel meer om de hoek dan een paar mooie plaatjes op het scherm.
31-08-2019, 07:08 door [Account Verwijderd]
Door Anoniem: Er is niets mis met Wordpress, het is mis met de klanten die denken dat een website bouwen een apple en een ei kost en onderhoud willen ze al helemaal niet voor betalen.

Dat snap ik niet... Apples zijn toch juist best duur?
01-09-2019, 11:34 door karma4
Door En Rattshaverist: Dat snap ik niet... Apples zijn toch juist best duur?
Even je autotranslator en context search als mens activeren. Alleen van robots zou je zo;n antwoord als jij nu doet kunnen verwachten (turing test). appeltje eitje toch.... https://onzetaal.nl/taaladvies/appeltje-eitje
https://educatie-en-school.infonu.nl/taal/125704-spreekwoorden-over-appels-in-de-nederlandse-taal.html
02-09-2019, 08:25 door [Account Verwijderd] - Bijgewerkt: 02-09-2019, 08:26
Door karma4:
Door En Rattshaverist: Dat snap ik niet... Apples zijn toch juist best duur?
Even je autotranslator en context search als mens activeren. Alleen van robots zou je zo;n antwoord als jij nu doet kunnen verwachten (turing test). appeltje eitje toch.... https://onzetaal.nl/taaladvies/appeltje-eitje
https://educatie-en-school.infonu.nl/taal/125704-spreekwoorden-over-appels-in-de-nederlandse-taal.html

Robots hebben en herkennen geen humor... Hééé!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.