590.000 WordPress-sites kwetsbaar door kritiek beveiligingslek in plug-in
Zo'n 590.000 WordPress-sites lopen door een kritieke kwetsbaarheid in een plug-in het risico om door aanvallers te worden overgenomen. De ontwikkelaar van NextGen Gallery, de plug-in waar het om gaat, heeft een beveiligingsupdate uitgebracht. Slechts een kleine 27 procent van de meer dan 800.000 WordPress-sites die de plug-in gebruikt heeft de update echter geïnstalleerd.
Via NextGen Gallery kunnen WordPress-sites een fotogalerij aan hun website toevoegen. Onderzoekers van securitybedrijf Wordfence ontdekten afgelopen december twee kwetsbaarheden in de plug-in. De impact van één van deze beveiligingslekken (CVE-2020-35942) is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,6 beoordeeld.
De kwetsbaarheid wordt veroorzaakt door een logische fout in de functie die beoordeelt of bepaalde requests zijn toegestaan. Een aanvaller kan door middel van cross-site request forgery (CSRF) zo op afstand code uitvoeren. De aanval vereist wel enige social engineering. Zo moet een ingelogde beheerder op een link van de aanvaller klikken en moet tenminste één fotoalbum van de website voor de aanvaller toegankelijk zijn.
De ontwikkelaar van de plug-in werd op 15 december ingelicht en kwam twee dagen later met een update. Deze versie, 3.5.0, is door een kleine 27 procent van de meer dan 800.000 websites geïnstalleerd. Dat houdt in dat zo'n 590.000 WordPress-sites nog met een kwetsbare versie van de plug-in zitten. Beheerders van deze sites wordt aangeraden de update zo snel als mogelijk te installeren, aangezien details over het lek bekend zijn gemaakt.
De core code van deze op PHP gebaseerde CMS is in de regel vrij betrouwbaar en wordt gewoonlijk goed onderhouden.
Bij thema's plug-ins en de uiteindelijke settings kan er nogal eens wat misgaan of over het hoofd worden gezien.
Ook worden de hoofdversie updates van Word Press nogal eens vergeten door website onderhouders.
Dat alles kan zich wreken op de veiligheid van websites met dit onderhavige CMS en dergelijke verouderde plug-ins.
Kijk eens hier en scan met deze online CMS app: https://hackertarget.com/wordpress-security-scan/
of een scannetje bij webhint.io/scanner/ kan ook de ogen openen.
Dank aan de redactie hier voor deze interessante link in het bericht, u verplicht ons weer hiermee, zie:
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
luntrus
Het is niets meer dan een gesponsorde shill.
Bah!
Gewoon goed onderhouden en strak (laten) monitoren vanuit een SLA, niets aan de hand. Is er wel iets aan de hand, dat kan bij iedere website gebeuren, kun je op de SLA terugvallen.
De core code van deze op PHP gebaseerde CMS is in de regel vrij betrouwbaar en wordt gewoonlijk goed onderhouden.
Bij thema's plug-ins en de uiteindelijke settings kan er nogal eens wat misgaan of over het hoofd worden gezien.
Ook worden de hoofdversie updates van Word Press nogal eens vergeten door website onderhouders.
Dat alles kan zich wreken op de veiligheid van websites met dit onderhavige CMS en dergelijke verouderde plug-ins.
Ik snap dat er geld verdient moet worden maar op deze manier als reactie, is volgens mij in strijd met van alles en reden te meer om zeker niet die links te volgen. Fopdrollen
Hoogmoed komt steeds voor de compromittering.
En moet een cloudboer vanuit de SLA gaan monitoren? Niet ieder draait een professioneel ontwikkelde Word Press site en besteedt het onderhouden uit.
En dan nog is security vaak een last resort issue. PHP, juist ja, zie de hacker's weak PHP list ;).
#sockpuppet
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior specialist OSINT
Ben jij enthousiast en leergierig en wil je het cybercrimeteam Oost Nederland verder helpen in de aanpak van digitale criminaliteit? We zijn op zoek naar een junior specialist Open Source Intelligence (OSINT). Weet jij de digitale wereld van buiten naar binnen te halen? Dan is deze functie iets voor jou!
