590.000 WordPress-sites kwetsbaar door kritiek beveiligingslek in plug-in
Zo'n 590.000 WordPress-sites lopen door een kritieke kwetsbaarheid in een plug-in het risico om door aanvallers te worden overgenomen. De ontwikkelaar van NextGen Gallery, de plug-in waar het om gaat, heeft een beveiligingsupdate uitgebracht. Slechts een kleine 27 procent van de meer dan 800.000 WordPress-sites die de plug-in gebruikt heeft de update echter geïnstalleerd.
Via NextGen Gallery kunnen WordPress-sites een fotogalerij aan hun website toevoegen. Onderzoekers van securitybedrijf Wordfence ontdekten afgelopen december twee kwetsbaarheden in de plug-in. De impact van één van deze beveiligingslekken (CVE-2020-35942) is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,6 beoordeeld.
De kwetsbaarheid wordt veroorzaakt door een logische fout in de functie die beoordeelt of bepaalde requests zijn toegestaan. Een aanvaller kan door middel van cross-site request forgery (CSRF) zo op afstand code uitvoeren. De aanval vereist wel enige social engineering. Zo moet een ingelogde beheerder op een link van de aanvaller klikken en moet tenminste één fotoalbum van de website voor de aanvaller toegankelijk zijn.
De ontwikkelaar van de plug-in werd op 15 december ingelicht en kwam twee dagen later met een update. Deze versie, 3.5.0, is door een kleine 27 procent van de meer dan 800.000 websites geïnstalleerd. Dat houdt in dat zo'n 590.000 WordPress-sites nog met een kwetsbare versie van de plug-in zitten. Beheerders van deze sites wordt aangeraden de update zo snel als mogelijk te installeren, aangezien details over het lek bekend zijn gemaakt.
De core code van deze op PHP gebaseerde CMS is in de regel vrij betrouwbaar en wordt gewoonlijk goed onderhouden.
Bij thema's plug-ins en de uiteindelijke settings kan er nogal eens wat misgaan of over het hoofd worden gezien.
Ook worden de hoofdversie updates van Word Press nogal eens vergeten door website onderhouders.
Dat alles kan zich wreken op de veiligheid van websites met dit onderhavige CMS en dergelijke verouderde plug-ins.
Kijk eens hier en scan met deze online CMS app: https://hackertarget.com/wordpress-security-scan/
of een scannetje bij webhint.io/scanner/ kan ook de ogen openen.
Dank aan de redactie hier voor deze interessante link in het bericht, u verplicht ons weer hiermee, zie:
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
luntrus
Het is niets meer dan een gesponsorde shill.
Bah!
Gewoon goed onderhouden en strak (laten) monitoren vanuit een SLA, niets aan de hand. Is er wel iets aan de hand, dat kan bij iedere website gebeuren, kun je op de SLA terugvallen.
De core code van deze op PHP gebaseerde CMS is in de regel vrij betrouwbaar en wordt gewoonlijk goed onderhouden.
Bij thema's plug-ins en de uiteindelijke settings kan er nogal eens wat misgaan of over het hoofd worden gezien.
Ook worden de hoofdversie updates van Word Press nogal eens vergeten door website onderhouders.
Dat alles kan zich wreken op de veiligheid van websites met dit onderhavige CMS en dergelijke verouderde plug-ins.
Ik snap dat er geld verdient moet worden maar op deze manier als reactie, is volgens mij in strijd met van alles en reden te meer om zeker niet die links te volgen. Fopdrollen
Hoogmoed komt steeds voor de compromittering.
En moet een cloudboer vanuit de SLA gaan monitoren? Niet ieder draait een professioneel ontwikkelde Word Press site en besteedt het onderhouden uit.
En dan nog is security vaak een last resort issue. PHP, juist ja, zie de hacker's weak PHP list ;).
#sockpuppet
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.