40.000 WordPress-sites kwetsbaar door XSS-lek in Download Manager
Zo'n 40.000 WordPress-sites lopen het risico om te worden overgenomen door middel van een kwetsbaarheid in de Download Manager-plug-in. Download Manager is een plug-in waarmee webmasters downloads vanaf hun WordPress-site kunnen volgen en beheren. Zo is bijvoorbeeld per gebruiker de hoeveelheid downloads of downloadsnelheid in te stellen. Daarnaast is de plug-in te gebruiken voor de verkoop van digitale producten.
Meer dan 100.000 WordPress-sites maken gebruik van Download Manager. Een onderdeel van de plug-in bevat een cross-site scripting (XSS)-kwetsbaaheid, die door het niet goed omgaan met gebruikersinvoer wordt veroorzaakt. Door een gebruiker van de plug-in een malafide link te laten openen is het voor een aanvaller mogelijk om willekeurige code in de browser van het slachtoffer uit te voeren, zo meldt securitybedrijf Wordfence.
Een aanvaller kan zo gevoelige informatie of cookie-waardes stelen en in het ergste geval beheerderstoegang krijgen of een backdoor toevoegen. In het geval van Download Manager zouden zowel klantgegevens als toegang tot de aangeboden digitale producten risico lopen. Een aanvaller die de sessiecookies van de beheerder via het lek weet te bemachtigen kan zo de instellingen van het betaalproces aanpassen en zelfs nepproducten toevoegen.
Het beveiligingslek is aanwezig in versie 3.2.42 en ouder van de plug-in en verholpen met versie 3.2.43. Op het moment van schrijven hebben zo'n zestigduizend van de honderdduizend WordPress-sites waarop Download Manager draait de laatste versie geïnstalleerd, wat inhoudt dat zo'n veertigduizend sites nog risico lopen.
Configuratiefouten zoals user enumeration op enabled laten staan, alsmede directory listing zijn onvergeeflijk.
Verder natuurlijk kwetsbare code in plug-ins en kwetsbaarheden door niet op tijd updaten of op de achterliggende servers.
Een gelikte veilige site die eigenaar of onderhouder laat zoals die de ontwerpers verliet, is zo een onveilige website.
Onveilig beheer zou afgestraft moeten worden. Het brengt niet alleen jezelf in gevaar maar ook je bezoekers lopen dit.
Op een schip werd je dus vroeger gekielhaald. Op Interwebz gebeurt er niets, nada, naks.
luntrus
Een gelikte veilige site die eigenaar of onderhouder laat zoals die de ontwerpers verliet, is zo een onveilige website.
Onveilig beheer zou afgestraft moeten worden. Het brengt niet alleen jezelf in gevaar maar ook je bezoekers lopen dit.
Op een schip werd je dus vroeger gekielhaald. Op Interwebz gebeurt er niets, nada, naks.
luntrus
Het past niet in een normale sociale samenleving dat mensen ongestraft andermans werk kapot kunnen maken en
dat het "algemeen geaccepteerd" is dat alleen een paar topspecialisten een website kunnen beheren en dan nog
alles uit de kast moeten halen om het veilig te houden.
Er wordt veel te weinig gedaan tegen internet inbrekers. Die zouden minstens net zo hard aangepakt moeten worden
als klassieke inbrekers.
Maar dat werkt nu juist niet. Waar ligt dat dan aan? Dom houden o.a., zodat niemand weet hoe het basaal te beveiligen is.
De verkeerde mensen monitoren en surveilleren. Staatshackers en script-kiddo's gedogen om een digitale chaos te veroorzaken, zodat de BBB- en Great Reset plannetjes meer kans van slagen zullen hebben. Ik geloof niet meer in toeval bij gedogen van criminaliteit top-down; het gaat met opzet. Alles is al gepn*wed, corrupt, broke. Straks komt de nieuwe luciferiaanse versie 2.0., maar die lijkt nog meer op een nog erger persistent hell-hole.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.