Duizenden WordPress-sites kwetsbaar door kritiek lek in wpDiscuz
Duizenden WordPress-sites zijn kwetsbaar door een kritiek beveiligingslek in de plug-in "wpDiscuz" waardoor een aanvaller willekeurige code op de server van kwetsbare sites kan uitvoeren. WpDiscuz voorziet WordPress-sites van uitgebreidere opties om gebruikers te laten reageren. Sinds versie 7 van de plug-in is het mogelijk om afbeeldingen te uploaden, die vervolgens in de reacties op de website worden weergegeven.
De controle die WpDiscuz op geüploade bestanden uitvoerde bleek eenvoudig te omzeilen. Daardoor was het mogelijk voor ongeauthenticeerde gebruikers om willekeurige bestanden te uploaden, waaronder PHP-bestanden. Zo zou een aanvaller willekeurige PHP-code op de server kunnen uitvoeren. In het ergste geval zou een aanvaller zo toegang tot alle websites kunnen krijgen die op de server worden gehost.
De kwetsbaarheid is op een schaal van 1 tot en met 10 wat betreft de impact met een 10 beoordeeld. Dat houdt in dat het beveiligingslek eenvoudig is te misbruiken. De kwetsbaarheid werd op 19 juni door securitybedrijf Wordfence aan de wpDiscuz-ontwikkelaars gemeld. Op 23 juli verscheen er een nieuwe versie van de plug-in waarin het beveiligingslek was verholpen. WpDiscuz draait op meer dan 80.000 WordPress-sites. De helft daarvan maakt gebruik van versie 7. Sinds het uitkomen van de nieuwe versie is de plug-in 30.000 keer gedownload, wat inhoudt dat duizenden WordPress-sites nog kwetsbaar zijn.
Nu de beveiligingsupdate beschikbaar is heeft Wordfence meer details over de kwetsbaarheid gegeven. Websites die de nieuwste versie nog niet hebben geïnstalleerd wordt dringen aangeraden dit zo spoedig mogelijk te doen. In februari van dit jaar werd een kwetsbaarheid in de plug-in Profile Builder, die ook een impactscore van 10 had, kort na het uitkomen van de beveiligingsupdate aangevallen.
Hmm, dan gaan jullie er vanuit dat iedereen die de plugin download hem precies op één website zet. Het lijkt me waarschijnlijker dat met 30.000 downloads van de update er meer websites zijn bijgewerkt...
The problem is 100% fixed and wpDiscuz is safe.
You can ignore this if you've already updated to 7.0.5 or higher version (current version is 7.0.6).
This was fixed and the new version 7.0.5 was released a week ago. There is not any issues with current wpDiscuz version. It's 100% secure now.
This kind of issues happens with almost all WordPress plugins, so there is no reason to worry if you've updated and up to date.
Just keep updating your plugins and make sure you're using the latest versions.
And some numbers…
About 50% of wpDiscuz users are currently using 7.x.x versions. It’s about 35,000 websites.
30,000 of them have already updated to secure 7.0.5 and higher versions during last week. And about 3,000 websites are updating every day.
So in one two days there almost certainly won’t be any website with old unsecure 7.0.0 – 7.0.4 versions and almost all websites will be up to date and safe.
Thank you!
wpDiscuz Developers
Jetz ales in ordnung!
Machen Sie sich keine Sorgen.
Word Press het blijft nog vaak aanmodderen met deze op PHP gebaseerd CMS.
Kwetsbaarheden op de webserver etc. (weak PHP).
Verouderde versies, verouderde of verlaten plug-ins.
User Enumeration en Directory Listing, allebei niet later op 'disabled' gezet.
Kwetsbare afvoerbare jQuery bibliotheken (bootstrap.js bijv. enz.). DOM-XSS issues.
Niet voldoende van updates voorzien enop tijd gepatcht,
blijft security op Word Press "dweilen met de kraan open".
Een gelikte website is nog geen veilige website.
En veiligheid is vaak sluitstuk, maar de eindrekening zit wel altijd onder in de zak.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.