Tienduizenden WordPress-sites kwetsbaar door lek in plug-in
Tienduizenden WordPress-sites kunnen eenvoudig door criminelen worden overgenomen omdat ze gebruikmaken van een kwetsbare plug-in. Het gaat om Ultimate Member, een plug-in waarmee WordPress-sites allerlei functionaliteit voor geregistreerde gebruikers kunnen toevoegen, zoals uitgebreide gebruikersprofielen en speciale gebruikersrollen. Ultimate Member is vooral bedoeld voor online communities en membership sites.
Meer dan 100.000 websites maken gebruik van de plug-in. Onderzoekers van securitybedrijf Wordfence ontdekten drie kwetsbaarheden in de plug-in waardoor gebruikers beheerder kunnen worden en zo volledige controle over de website krijgen. Op een schaal van 1 tot en met 10 wat betreft de ernst zijn twee van de kwetsbaarheden met een 10 beoordeeld, het derde beveiligingslek scoort een 9,9.
De scores geven aan dat het om kritieke kwetsbaarheden gaat die eenvoudig zijn te misbruiken. Na ontdekking van de beveiligingslekken waarschuwde Wordfence de ontwikkelaars van Ultimate Member. Op 29 oktober verscheen versie 2.1.12 van de plug-in waarmee de kwetsbaarheden zijn verholpen. Nu een kleine twee weken later heeft Wordfence de details van de beveiligingslekken openbaar gemaakt.
Uit cijfers van WordPress blijkt dat er nog tienduizenden websites kwetsbaar zijn. Zo zijn er 20.000 websites die versie 2.0 of ouder gebruiken. Tachtig procent draait versie 2.1.x, maar het exacte versienummer wordt niet vermeld. Sinds 29 oktober is de plug-in zo'n 76.000 keer gedownload. Webmasters die van de plug-in gebruikmaken wordt aangeraden de nieuwe versie te downloaden.
The plugin allows you to add beautiful user profiles to your site and is perfect for creating advanced online communities and membership sites.met user enumeration en/of directory listing op enabled laten staan,
niet voldoende geupdate versie en soms met verouderde en kwetsbare plug-ins
of zelfs draaiend met verlaten code.
Is daardoor gemakkelijk te compromitteren en over te nemen.
Check voor een "guick & dirty" scan:
https://hackertarget.com/wordpress-security-scan/
Aanbevelingen ook t.a.v. beveiliging, scan dan met webhint hier {url] https://webhint.io/scanner/[/url]
Voor kwetsbare magento webshops, een ander PHP gerelateerd CMS, scan:
https://www.magereport.com/scan/?s= Credits gaan naar de onvolprezen researcher, Willem de Groot (GWillem).
Nog veel draait hier op Magento 1, hetwelk "end of lifetime" is, met alle blokkeringen etc. vandien.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.